I – O contrato de abertura de conta bancária, constituindo a génese da relação bancária, dá origem à rede negocial que constitui aquela relação, onde se inserem outras figuras contratuais, tais como o depósito, a abertura de crédito, a emissão de cartão e o home banking, figuras essas associadas ao contrato de abertura de conta e com o mesmo interligadas, constituindo uma união de contratos.
II – Considerados os riscos da utilização de meios de pagamento electrónico, a segurança do sistema estará dependente da actuação diligente de todos os seus utilizadores e intervenientes, o que levou o RJSPME (DL 91/2018 de 12-11) a estabelecer especiais obrigações do utilizador dos serviços e do seu prestador, repartindo depois aqueles riscos e respectivos prejuízos entre ambos, tendo em consideração a actuação de cada um deles no cumprimento dos deveres que lhes são impostos.
III – Aquele diploma tem como um dos objectivos primaciais a protecção dos consumidores na utilização dos serviços de pagamento electrónico.

Acordam na 7.ª Secção do Tribunal da Relação de Lisboa:

RELATÓRIO:
L… e M… intentaram acção declarativa, com processo comum, contra Banco CTT, S.A., pedindo que o R. seja condenado no pagamento:
 «(i) aos AA. do valor global de € 9.986,00 e, ainda, à A. L… do montante de € 8.000,00, a título de danos patrimoniais, quantias essas acrescidas de juros vencidos desde o dia 14.12.2022 até à presente data, computados à taxa legal aplicável, acrescida de 10 pontos percentuais, no montante global de € 2.235,19 (dois mil duzentos e trinta e cinco euros e dezanove cêntimos) - e na proporção de € 1.241,00 para os AA. e de € 994,19 para a A. L… - e nos juros vincendos, calculados à taxa legal aplicável, acrescida de 10 pontos percentuais, desde a presente data e até integral e efetivo pagamento, além de custas e procuradoria, e
(ii) aos AA., em conjunto, do montante de € 4.000,00 (quatro mil euros), correspondente a € 2.000,00 (dois mil euros) para cada A., a título de danos não patrimoniais, montante esse acrescido de juros contados à taxa legal aplicável calculada desde a citação e até integral e efetivo pagamento».
Para tanto, alegam serem clientes depositários do R., junto do qual são titulares de contas à ordem - ambos os AA. são co-titulares de uma conta e a A. mulher é titular única de outra. Nessas contas existiram movimentos não realizados, nem ordenados, pelos AA., consistindo os mesmos numa transferência bancária de € 9.986,00 (feita a partir da conta titulada por ambos os AA.) e num pagamento de € 8.000,00 (feito a partir da conta titulada pela A. mulher), sem que o R. tenha diligenciado por obter uma autenticação forte para tais movimentos. Após reclamação dos AA., o R. não procedeu à restituição dos valores correspondentes àquelas operações. Com essa conduta, o R. provocou aos AA. não só danos patrimoniais de valor equivalente aos montantes movimentados e respectivos juros de mora, como um profundo desgaste, angústia e ansiedade, decorrentes de terem visto perdidas as suas poupanças, tendo-se mesmo visto impedidos de contratarem para o seu casamento todos os serviços que tinham previstos.
O R. contestou, alegando que os factos constantes da petição inicial são insuficientes para a procedência do pedido. Por outro lado, invoca que foi a A. quem agiu descuidadamente, com negligência grosseira, olvidando as mais elementares regras de utilização dos canais digitais que bem conhecia. Assim, em vez de aceder directamente ao endereço indicado pelo R., utilizou um motor de busca da internet, pelo que terá acedido a um sítio contrafeito, onde lhe foi pedida, e a A. introduziu, a sua senha de acesso completa, e não - contrariamente ao que acontece na página verdadeira do R. -, apenas alguns caracteres dessa senha aleatoriamente escolhidos no momento. Desse modo, foram capturadas as suas credenciais de acesso ao homebanking. De seguida, a A. também forneceu àquela página falsa, de modo totalmente diverso daquele que fazia na página verdadeira do R., a senha que lhe foi remetida, por SMS, para o seu telemóvel, o que permitiu a terceiros instalarem a aplicação móvel em dispositivo sob o seu controlo e, assim, ordenarem movimentos a débito a partir das contas dos AA.. Conclui que não lhe assiste qualquer obrigação de reparar danos que tenham sido sofridos pelos AA..
Dispensada a realização de audiência prévia, o processo foi saneado, tendo sido julgada improcedente a invocação de insuficiência da matéria de facto alegada, entendida pelo tribunal a quo como invocação de ineptidão da petição inicial. Foi, ainda, identificado o objecto do litígio [«importa apurar se assiste aos Autores o direito de serem indemnizados pela Ré nos montantes peticionados a título de danos patrimoniais e não patrimoniais, nos termos da responsabilidade civil contratual, e em que montante»] e foram enunciados os temas da prova [«1- A autora, deixando-se ludibriar, acedeu, introduzindo a sua password completa, na página de Internet de homebanking contrafeita. 2- A password introduzida pela autora foi em termos diferentes dos utilizados no homebanking disponibilizado pela ré aos seus clientes. 3- A password foi objeto de captura, por terceiros não identificados, após a sua introdução pela autora na página de Internet falsa. 4- A ré transmitiu aos autores, reiterada e previamente à data das operações, que os clientes deviam aceder aos canais de homebanking apenas a partir do acesso ao sítio da Internet www.bancoctt.pt. 5- Os autores desconsideraram, censuravelmente, as reiteradas recomendações de segurança que a ré lhes transmitira. 6- A autora partilhou com os terceiros o código (OTP) que lhe foi enviado para o
número de telemóvel registado. 7- As operações de pagamento foram autenticadas, através de elementos de autenticação, devidamente registadas e contabilizadas, não tendo sido afetadas por quaisquer avarias técnicas ou deficiências do serviço prestado pela ré. 8- Foi a conduta da autora que permitiu a realização das duas transferências por terceiros. 9- As duas operações não correspondem ao perfil e tradição dos autores como utilizadores dos canais digitais. 10- Os danos sofridos pelos autores em consequência do ocorrido»].
Em 23/5/2024, os AA. vieram apresentar requerimento de redução do pedido, alegando terem recebido, no decurso de processo-crime que se encontra a correr, relativo aos factos a que [também] se reportam os presentes autos, a quantia de € 500,00, por conta dos € 17.986,00 movimentados das suas contas.
Procedeu-se a audiência final, após o que foi proferida sentença, que, julgando a acção procedente, concluiu com o seguinte dispositivo:
«(…) condeno o réu BANCO CTT, S. A. a pagar aos autores L… e M… as quantias de:
i. €17.486,00 (dezassete mil, quatrocentos e oitenta e seis euros), acrescida de juros de mora vencidos e vincendos, à taxa de 14%, desde o dia 14.12.2022 até efetivo e integral pagamento;
ii. €4.000,00 (quatro mil euros), a título de danos não patrimoniais, acrescida de juros de mora vencidos e vincendos, à taxa legal de 4 %, desde a citação, ocorrida em 08.11.2023, até efetivo e integral pagamento.
A responsabilidade pelo pagamento das custas processuais recai, na sua totalidade sobre o réu, que deu causa à presente ação, nos termos do artigo 527.º, n.º 1, do Código de Processo Civil».
Não se conformando com esta decisão, dela apelou o R., formulando, no final das suas alegações, as seguintes conclusões:
«A. O aqui recorrente não se conforma com a decisão proferida pelo tribunal a quo, reputando-a infundada do ponto de vista da matéria de facto, e mormente quanto à aplicação que faz do direito aos factos;
B. O tribunal a quo considerou provada extensa matéria de facto, alguma [muita mesmo] com respaldo nas declarações tomadas à impetrante L....
C. Perfilam-se na sentença recorrida, decisivos para a decisão prolatada (contra a qual se insurge o aqui recorrente), diversa matéria de facto tida por provada pelo tribunal a quo, como ainda alguns factos (poucos) não provados.
D. Refere o tribunal a quo que, para formação da sua decisão relevou, maioritariamente, a “conjugação dos diversos meios de prova produzidos”.
E. No entanto, analisada a matéria de facto provada, parece ter sido esta isolada a partir de uma inaceitável “hipervalorização probatória” das declarações tomadas à Autora L....
F. Considerou o Tribunal a quo como não provados, merecendo discordância do aqui recorrente, os seguintes factos: C. É recorrentemente recomendado pelo réu aos seus clientes que o acesso ao serviço de homebanking ocorra a partir do acesso ao sítio da Internet www.bancoctt.pt.; D. As páginas de Internet falsas apresentavam uma aparência gráfica diferente da página de acesso ao homebanking do Banco CTT acessível através de www.bancoctt.pt.; F. Iniciado o processo de instalação da app mobile Banco CTT foi automaticamente gerada uma One Time Password (“OTP”) para ser utilizada para esse efeito.; G. Essa OTP foi automaticamente enviada por SMS para o telemóvel que a autora L... tem indicado junto do réu.; H. Os terceiros não identificados solicitaram que a autora L... introduzisse a referida OTP na página de Internet falsa, tendo a autora L... partilhado esse código (OTP) com os mencionados terceiros, introduzindo-o na página de internet contrafeita.; I. O processo de instalação da app mobile Banco CTT no equipamento controlado por terceiros, foi consumado com a introdução do OTP enviado à autora L... e por esta introduzido na página falsa controlada por esses terceiros: e L. As operações foram autenticadas, através de elementos de autenticação, devidamente registadas e contabilizadas.
G. Em face da prova produzida exigia-se que estes factos tivessem sido dados como provados, contribuindo para uma solução de Direito diferente daquela que foi tomada.
H. Considerando-se provado que a (i.) Autora L... acedeu indevidamente (contrariando as prescrições contratuais de que o acesso ao homebanking do Banco CTT devia ocorrer mediante a inscrição do endereço www.bancoctt.pt diretamente no browser do respetivo computador em vez de realizar uma vulgar pesquisa em motor de busca [google ou outro] por expressões diversas) ao serviço de homebanking do aqui recorrente, que nessa sequência – e (ii.) por causa desse acesso em negação das regras estabelecidas – foram-lhe capturadas as credenciais (username e password) de acesso a este instrumento de pagamento (serviço de homebanking), e ainda (iii.) que, pelo uso destas credenciais, os “terceiros conseguiram iniciar o processo de instalação da aplicação mobile Banco CTT, em dispositivo que controlavam com o descritivo “samsung aosp”, concluído com sucesso tal instalação pelas 20H:53M:50S, naturalmente que tal apenas foi possível, pelo conhecimento desse código OTP automaticamente gerado pelo processo de instalação da aplicação móvel, e remetido para o telemóvel indicado pela Autora L... ao Banco CTT para tais (e outras também) finalidades.
I. A Autora L..., nas suas declarações de parte, reconheceu ter recebido uma mensagem (sms) no seu telemóvel contendo um código (a dita OTP) encabeçando uma sequência de mensagens sms, recebidas de fonte digna (o Banco CTT, à semelhança de anteriores) [15m:07s – 15m:21s da sessão de julgamento realizada no dia 15.05.2024].
J. Questionada se tinha inserido esse código no “computador” ou na “app” a Autora L... – incapaz de responder expressamente, limitando-se a negar com um aceno de cabeça, parecendo comprometida com a resposta – disse não o ter feito, após insistência para que desse uma resposta expressa [15:52s – 15m:55s da sessão de julgamento realizada no dia 15.05.2024].
K. No entanto, contraria-a a testemunha N…, no esclarecedor e detalhado depoimento que prestou, com inabalável razão de ciência (a análise que empreendeu ao ocorrido, no exercício das suas funções de investigador de fraude do aqui recorrente), esclarecendo que o ingresso pela Autora L..., numa página de Internet falsa, onde lhe foi solicitada a introdução – para além do username – da password completa, permitiu a captura por terceiros destas credenciais, com base nas quais desencadearam a instalação da aplicação móvel do Banco CTT, gerando a emissão de um código OTP, remetido para o telemóvel da cliente, que foi posteriormente introduzido no sistema, permitindo a conclusão da instalação dessa aplicação móvel, e a realização de transações a débito nas contas desses clientes [31m:20s – 36m:03s da sessão de julgamento realizada no dia 15.05.2024].
L. Asseverou ainda a testemunha N… que da consulta dos sistemas informáticos do Banco CTT constatou-se, no caso dos aqui Autores, que, na sequência do processo de instalação da aplicação móvel foi gerado automaticamente a OTP, enviada para o telemóvel da Autora L... (por sms que esta reconheceu ter recebido) [38m:06s - 38m:20s da sessão de julgamento realizada no dia 15.05.2024] e que a conclusão dessa instalação ocorreu mediante a introdução no sistema dessa OTP, pelas 20h:53m do dia 14.12.2022 [1h:01m:59s – 1h:02m:23s da sessão de julgamento realizada no dia 15.05.2024] e [37m:40s –38m:06s da sessão de julgamento realizada no dia 15.05.2024].
M. A Autora L... faltou à verdade quando disse não ter introduzido o código OTP que admitira ter recebido no seu telemóvel por mensagem sms, naquela noite de 14.12.2022, proveniente de fonte fidedigna (porquanto, dessa mesma fonte – i. e., contacto telefónico do Banco CTT – já havia recebido mensagens anteriores), ignorando o facto de estar sob juramento.
N. Faltou de igual modo à verdade a Autora L... quando deu a entender que apenas teria visto aquela mensagem contendo a OTP para conclusão da instalação da aplicação móvel do Banco CTT depois de ter recebido as mensagens informativas do insucesso de transações tentadas por esses terceiros, mediante o uso abusivo da aplicação móvel do Banco CTT.
O. E para que não restem dúvidas, asseverou ainda a testemunha N… que o código OTP enviado por mensagem sms para o telemóvel da Autora L... - dispondo dessa evidência e, bem assim, da evidência de que foi esse código introduzido no sistema de molde a concluir o processo de instalação da aplicação móvel do Banco CTT utilizada para ordenar as transações reclamadas – tinha uma validade temporal de cerca de 90 segundos / 3 minutos [41m:05s – 41m:23s da sessão de julgamento realizada no dia 15.05.2024].
P. Reforçou ainda a testemunha N…, a instâncias da Ilustre Mandatária dos Autores, a evidência do envio da mensagem contendo o código OTP para o telemóvel da Autora L... pela análise da “gateway” do sistema informático do Banco CTT [1h:01m:35s – 1h:01m:41s da sessão de julgamento realizada no dia 15.05.2024] e, bem assim, o “log” correspondente à introdução desse código OTP no sistema, culminando na instalação bem sucedida da aplicação móvel do Banco CTT [1h:01m:42s – 1h:02m:23s da sessão de julgamento realizada no dia 15.05.2024].
Q. A conduta da Autora foi a única causa do sucedido, não só porque acedeu de modo diverso do prescrito ao serviço de homebanking, como introduziu, na página a que acedeu, a totalidade da sua password, e nessa página certamente introduziu o código OTP gerado automaticamente pelo desencadear do processo de instalação da aplicação móvel, que lhe foi enviado por sms para o seu telemóvel, por terceiros que se haviam apropriado das credenciais [username e password], na sequência do acesso indevido que realizou ao serviço de homebanking - assim o confirma o depoimento prestado pela testemunha N… [1h:09m:50s – 1h:11m:04s da sessão de julgamento realizada no dia 15.05.2024], como as próprias regras de experiência comum [a “mundividência”].
R. A respeito de “boas e más práticas” acrescentou também a testemunha N… que o aqui recorrente, com frequência, divulga recomendações de segurança, por via de mensagens sms e de correio eletrónico aos seus clientes, sobre como deverão proceder para garantir a segurança na utilização dos servidos de banca eletrónica ao seu dispor [1h:11m:24s – 1h:12m:05s da sessão de julgamento realizada no dia 15.05.2024].
S. Esclareceu ainda a testemunha N… que as páginas falsas a que os clientes acediam, na sequência do acesso que ao serviço de homebanking do Banco CTT através de pesquisas, por expressões, em motores de busca [v. g. Google], apresentavam diferenças gráficas significativas, quando comparadas com a página oficial da instituição [1h:16m:25s – 1h:18m:20s da sessão de julgamento realizada no dia 15.05.2024].
T. Destarte, em face da prova testemunhal produzida devem os factos correspondentes às alíneas G., H., I. e J. da matéria de facto dada como não provada pelo tribunal a quo ser dados como provados, passando a constar da matéria de facto assente os seguintes factos: C. É recorrentemente recomendado pelo réu aos seus clientes que o acesso ao serviço de homebanking ocorra a partir do acesso ao sítio da Internet www.bancoctt.pt. D. As páginas de Internet falsas apresentavam uma aparência gráfica diferente da página de acesso ao homebanking do Banco CTT acessível através de www.bancoctt.pt. G. Essa OTP foi automaticamente enviada por SMS para o telemóvel que a autora L... tem indicado junto do réu H. Os terceiros não identificados solicitaram que a autora L... introduzisse a referida OTP na página de Internet falsa, tendo a autora L... Vieira partilhado esse código (OTP) com os mencionados terceiros, introduzindo-o na página de internet contrafeita. I. O processo de instalação da app mobile Banco CTT no equipamento controlado por terceiros, foi consumado com a introdução do OTP enviado à autora L... e por esta introduzido na página falsa controlada por esses terceiros.
U. A acrescer, deve ainda ser ampliada a matéria de facto de modo a fazer constar-lhe que: Nenhum problema ou vicissitude afetou os sistemas informáticos do Banco CTT no dia 14.12.2022; e As transações reclamadas pelos aqui Autores foram devidamente autenticadas, contabilizadas e registadas.
V. O primeiro destes factos foi confirmado pela testemunha N…, ao garantir, da análise empreendida aos sistemas informáticos do Banco CTT, que nenhuma anomalia foi detetada e que estes sistemas funcionaram de forma regular e como esperada [1h:08m:50s/1h:09m:33s da sessão de julgamento realizada no dia 15.05.2024] e [1h:27m:07s /1h:27m:15s da sessão de julgamento realizada no dia 15.05.2024]
W. O segundo dos factos enunciados foi confirmado também pela testemunha N… [1h:23m:15s – 1h:25m:09s da sessão de julgamento realizada no dia 15.05.2024] / [1h:26m:30s – 1h:26m:32s da sessão de julgamento realizada no dia 15.05.2024] e [1h:23m:15s – 1h:25m:09s da sessão de julgamento realizada no dia 15.05.2024].
X. Nesta medida, em face da prova produzida deve a matéria de facto dada como provada constante da sentença recorrida ser ampliada de modo a constar ainda como factos provados que: (Nenhum problema ou vicissitude afetou os sistemas informáticos do Banco CTT; e As transações foram devidamente autenticadas, contabilizadas e registadas.
Y. Com base neste acervo de factos (neles se incluindo as alterações acima demonstradamente justificadas) a solução de Direito aplicável nunca poderia ser aquela que fez o tribunal a quo constar da sentença recorrida.
Z. Ao rejeitar o carácter grosseiro, qualificador da negligência que reconhece ter afetado toda a conduta da Autora L..., revela uma inusitada candura na apreciação que faz dos factos.
AA. As transações cujos montantes os Autores pretendem ver reembolsados, bem sabemos hoje não terem sido realizadas pelos próprios, mas são-lhes imputáveis ou atribuídas, correndo por sua conta o risco da dissimulação desse consentimento, em termos que tornam tal circunstância insuscetível de ser oponível ao aqui recorrente.
BB. Foram, como provado, tais transações realizadas mediante mecanismos de autenticação forte, mediante recurso a fatores de autenticação de duas das três espécies legalmente determinadas, significando isso que, para o aqui recorrente, provinham dos Autores (da Autora L...).
CC. Essa autenticação não permitia deixar dúvidas ao recorrente de que recebia instruções, visando a realização de operações de pagamento, de quem tinha e demonstrava/provava ter legitimidade para tanto: a Autora L....
DD. Bastava ao aqui recorrente assegurar-se, como fez, de que as transações contestadas pelos autores / recorridos, provinham de ordens suas (neste sentido, v. por exemplo, os Acs. do STJ de 18.12.2008, tirado no processo 08B2688 e de 09.06.2014, este tirado no processo 333/09.0TVLSB.L2.S1).
EE. Assim sucedeu mediante, não só a utilização do instrumento de pagamento em causa: a app mobile do Banco CTT, como ainda, pela aplicação de autenticação forte a tais operações, ficando, assim garantida a “obrigação de acautelamento de interesses alheios”, não resultando de qualquer fonte legal obrigações de sindicância, movimento a movimento, em termos de previamente ter o banco perceber se o cliente naquele dia queria efetivamente movimentar a conta naquele montante.
FF. A Autora L..., com a sua conduta incauta e grosseiramente negligente, criou a convicção no aqui recorrente, que instalava a app mobile do Banco CTT num dispositivo móvel que indicava também pertencer-lhe (à semelhança de tantos clientes que o fazem em vários dispositivos móveis que manuseiam na sua vida quotidiana).
GG. Instalação essa apenas possível mediante a introdução do seu username e da password (completa) de seu exclusivo conhecimento (competindo-lhe a correspondente obrigação de manter confidenciais tais dados (n.º 2 do artigo 110.º do Decreto-Lei n.º 91/2018, de 12 de novembro – ao qual pertencem, doravante, todas as disposições legais sem indicação da respetiva fonte).
HH. A conclusão desse processo de instalação da app mobile do Banco CTT culminou – e apenas assim possível – com a introdução de um código (OTP – one time password, com uma validade temporal de 90 segundos) remetido para o telemóvel que a Autora L... havia indicado ao aqui recorrente para esse efeito, aquando da celebração do contrato de disponibilização do serviço de homebanking, tudo fazendo crer que tinha provindo de ordem sua, sem que nada permitisse crer o contrário.
II. Mediante o uso dessa app mobile do Banco CTT foram ordenadas as duas transações sindicadas pelos Autores, ignorando - ou querendo ignorar - que as ordens geradas pela dita aplicação móvel também lhes são atribuídas (à Autora L... no caso), dado envolverem elementos de autenticação de duas das três espécies legalmente exigíveis: Posse: correspondente à chave que é gerada pela introdução do OTP e Conhecimento ou inerência: correspondendo à solução adotada pelo cliente na utilização da app mobile no seu telemóvel (acedendo-lhe mediante a introdução de um código ou de um dado biométrico).
JJ. Com particular relevância considerou-se provado que a Autora L... acedeu ao homebanking do Banco CTT de modo diverso daquele que lhe impunha o contrato celebrado com o recorrente (ou seja, através da pesquisa no motor de busca Google, através da expressão “homebanking Banco CTT”), que introduziu a totalidade da sua password, e devia ainda ter ficado a constar da sentença, como facto provado, que a Autora L... introduziu um código OTP [sem que tivesse ordenado qualquer transação que justificasse essa introdução] que lhe foi remetido por mensagem sms para o seu telemóvel, na página de Internet contrafeita a que acedeu, permitindo que terceiros instalassem a aplicação móvel do Banco CTT, associada a conta à ordem dos Autores, em dispositivo que controlavam.
KK. Dito isto, delimita-se o objeto do presente recurso ao seguinte thema decidendum: O risco subjacente a ataques informáticos, ao abrigo do contrato-quadro celebrado entre recorrente e recorridos corre por conta do primeiro, quer por força do disposto no art.º 796.º do CC, quer por força do disposto no Decreto-Lei n.º 91/2018 de 12 de novembro; Compete ao aqui recorrente provar que a conduta dos recorridos, em especial a Autora L..., ao fornecer dados através da página em tudo idêntica à sua, foi gravemente negligente.
LL. A este respeito, o n.º 1 do artigo 113.º refere que caso um utilizador de serviços de pagamento (os Autores) negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento (o Banco CTT) fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
MM. Os Autores negam ter autorizado as transações cujo reembolso reclamam, no entanto, o aqui recorrente produziu prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento, nos termos acima expostos.
NN. Tudo o que competia provar ao aqui recorrente foi logrado provar, pelo que entende o Banco CTT que a matéria de facto tida por provada consubstancia, por si só, o conceito de negligência grosseira, determinante da impossibilidade jurídica de lhe poder ser assacada qualquer responsabilidade. (nos termos do n.º 3 do artigo 113.º).
OO. Corresponde tal matéria de facto, desde logo, aos factos que o tribunal a quo considerou como provados, como ainda, não restando quaisquer dúvidas, os restantes a cuja correção exortou o aqui recorrente, mediante correção e ampliação.
PP. A Autora L... confessou, aceder aos canais digitais do recorrente de modo diverso do que lhe era imposto, acedendo, por isso, a página contrafeita, com grosseiras diferenças gráficas e no modo de acesso e autenticação, relativamente ao serviço de homebanking do aqui recorrente: no ingresso acedeu de imediato a um espaço para acesso e introdução de credenciais de modo grotescamente diverso do habitual; acedeu a tudo o que lhe foi solicitado; e, não menos importante, partilhou um código OTP cuja receção no seu telemóvel tinha a obrigação de estranhar, porquanto não havia ordenado qualquer “transação” que o justificasse.
QQ. A par disto, logrou o recorrente provar que nenhuma deficiência ou vicissitude afetou os seus sistemas informáticos, como também que as transações contestadas pelos autores/recorridos foram registadas e contabilizadas e ordenadas mediante recurso a autenticação forte.
RR. Posto isto, nos termos do já mencionado n.º 3 do artigo 113.º, entende o aqui recorrente que a conduta da Autora L... representa um comportamento grosseiramente negligente, como o confirma a Relação de Lisboa no seu aresto de 01.10.2020, concluindo, em termos semelhantes aos dados como provados nestes autos que os utilizadores de serviços de pagamento agiram com manifesta negligência grosseira, ao adotarem condutas muito semelhantes àquelas que a Autora L... decidiu empreender.
SS. As ordens transmitidas ao Banco CTT, através do serviço de homebanking, gozam de plenos efeitos jurídicos, e em contrapartida o Banco CTT obrigou-se a manter sob rigorosa confidencialidade as Chaves de Acesso; e por seu turno os autores/recorridos obrigaram-se a guardar sob segredo, o username, a password e os OTP’s, como ainda a assegurar que a sua utilização é feita exclusivamente pelos próprios e a prevenir o seu uso abusivo por parte de terceiros.
TT. A Internet representa um manancial inesgotável de conhecimento e informação que fomenta o interesse de terceiros, com intuitos ilegítimos e que a coberto do anonimato em rede desenvolvem condutas engenhosas de apropriação de dados para, pelo seu uso, lograrem obter ilegítimos intentos (maxime, phishing), pelo que se exige dos utilizadores de serviços de banca digital exigentes precauções [não aceder mediante pesquisas em motores de busca, ou registo de endereços nos favoritos, definir passwords robustas, mantê-las confidenciais, ter sempre um antivírus atualizado, garantir as atualizações do sistema operativo e possuir uma firewall idónea].
UU. A Autora L..., ao aceder ao serviço de homebanking do aqui recorrente de modo totalmente diverso daquele que contratualmente lhe era imposto, e contrário às generalizadas recomendações de segurança, acabou por ingressar numa página de Internet contrafeita, com grosseiras diferenças daquela que era a página do Banco CTT, que conhecia, na qual facultou, na íntegra, as suas credenciais completas (username e password, esta última em manifesta divergência do procedimento habitual).
VV. Ora, apenas o risco de falha dos sistemas informáticos do prestador de serviços de pagamento corre por sua conta [n.º 1 do artigo 796º do Código Civil, e desde que não ocorra culpa do utilizador/cliente/ordenante - v. Ac. do STJ de 18-12-2013, processo 6479/09.8TBBRG.G1.S1].
WW. Incumbia à Autora L... garantir a segurança dos elementos de identificação que aí lhe são exigidos, bem como a sua utilização estritamente pessoal, nomeadamente não os revelando nem por qualquer forma os tornando acessíveis ao conhecimento de terceiro.
XX. No caso dos presentes autos, o Banco CTT logrou provar que o sucedido, contra o qual se insurgem os autores/recorridos, resultou de ato que culposamente lhes é imputável, com particular censura pela forma grosseira como incumpriram deveres a que se encontravam adstritos: a Autora L..., com total, consciente, intencional e reiterado desrespeito [fazendo letra morta do “contrato de facilidade de utilização” que celebrou com o Banco CTT] no que tange a elementares deveres de segurança no acesso ao serviço de homebanking do Banco CTT, acabou por facultar a terceiros todas as suas credenciais que tinha a obrigação de manter sob estrita confidencialidade.
YY. Tal comportamento corresponde à teleologia associada ao considerando 72 da Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015,m representativo, em termos valorativos ou axiológicos – no que à culpa concerne e ao juízo de censurabilidade que lhe é inerente -, de comportamento menos gravoso que o empreendido pela Autora L..., pelo que, por maioria de razão, deve este revestir a figura da negligência grosseira e não a da negligência simples que o tribunal recorrido lhe imputa.
ZZ. Ademais, tendo o aqui recorrente demonstrado o incumprimento pelo Autor deste contrato [homebanking], pela violação - grosseira, com total indiferença pela disciplina contratual firmada - de basilares premissas de segurança acordadas com o Banco CTT, logrou ilidir a presunção de culpa constante do n.º 1 do artigo 799º do Código Civil.
AAA. Logrando tal intento, é mister reconhecer que nenhuma responsabilidade poderá ser assacada ao Banco CTT, aqui recorrente, pelas transações cujo reembolso os Autores procuram obter por via da presente ação.
BBB. Assim sendo, como bem julgado foi pela Relação de Lisboa, no aludido aresto, “nestes caso[s], é o cliente quem suporta as perdas resultantes de operações de pagamento efectuadas em execução de ordens dadas através do sistema de homebanking por terceiros, a quem, por actuação gravemente negligente, facultou os códigos e chaves necessários a que tais ordens fossem identificadas como tendo sido dadas por si.”
CCC. Tal é, efetivamente, a melhor solução de Direito aplicável aos factos provados nos presentes autos, tal como corrobora o sentido decisório impresso nas seguintes decisões: Ac. do TRE de 12/04/2018 [destacando-se das respetivas conclusões que: O comportamento do autor que tendo acedido a uma página eletrónica ilícita convencido de que se tratava da página da entidade bancária, forneceu, a solicitação do sistema, além do número de identificação e do código PIN, a totalidade das coordenadas do cartão matriz, mostra-se adequando a viabilizar a e realização por terceiros de operações de pagamento não autorizadas; A atuação do autor, ao inserir a totalidade das coordenadas inscritas no cartão matriz em páginas semelhante à do serviço de homebanking da Ré, configura negligencia grave“; Ac. do TRG de 25/11/2013 [destacando-se das respetivas conclusões que: No contrato coligado de depósito bancário e de serviços de acesso via internet à sua movimentação e a outros serviços disponibilizados pela ré, entidade bancária esta tem o dever de protecção e informação, na sua execução continuada; O aderente tem de cumprir um conjunto de deveres conexos com a segurança do seu sistema informático e uso da chave de acesso concedida pela ré, não a fornecendo a terceiros. A entidade bancária cumpre o seu dever de protecção e informação colocando no seu site toda a informação disponível sobre segurança, que os utentes têm o dever de consultar, para se prevenirem de fraudes. Age com culpa o utente que fornece todo o seu conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador]; Ac. do TRE de 12/12/2013 [destacando-se das respetivas conclusões que: Provando a Ré que a Autora fez uma utilização imprudente, negligente e descuidada desse serviço, revelando a terceiros, na internet, os seus códigos pessoais de acesso ao serviço, bem como dos elementos necessários para a confirmação/validação da operação bancária, não lhe é exigível o pagamento das quantias por eles indevidamente movimentadas]; Ac. do TRE de 25/06/2015 [destacando-se das respetivas conclusões que: Age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizados (…). A Ré ao provar a culpa da Autora na transmissão da totalidade dos dados do seu cartão matriz a terceiros e, consequentemente, o seu incumprimento do contrato de homebanking por violação das mais elementares regras de segurança impostas pelo mesmo, ilidiu a presunção de culpa prevista no art.º 799º nº 1 do Código Civil, que sobre si impendia, pelo que não é responsável pela movimentação das contas bancárias de forma fraudulenta.”
Nestes termos, e nos mais de Direito a suprir doutamente por V. Exas., deve a presente apelação ser julgada integralmente procedente, por provada, e em consequência:
a) Ser, simultaneamente, alterada e ampliada a matéria de facto dada como provada pelo tribunal a quo, nos termos acima alegados e provados e, em conformidade
b) Ser revogada a sentença ora recorrida e substituída por outra que aplicando o Direito aos factos, de acordo com a melhor solução jurídica aplicável, determine a absolvição do aqui recorrente do pedido formulado pelos autores/recorridos».
 Os AA. contra-alegaram, pugnando pela improcedência da apelação.

QUESTÕES A DECIDIR
Conforme resulta dos arts. 635.º n.º 4 e 639.º n.º 1 do Código de Processo Civil, o objecto do recurso é delimitado pelas conclusões do recorrente, as quais desempenham um papel análogo ao da causa de pedir e do pedido na petição inicial. Ou seja, este Tribunal apenas poderá conhecer da pretensão e das questões [de facto e de direito] formuladas pelo recorrente nas conclusões, sem prejuízo da livre qualificação jurídica dos factos ou da apreciação das questões de conhecimento oficioso (garantido que seja o contraditório e desde que o processo contenha os elementos a tanto necessários – arts. 3.º n.º 3 e 5.º n.º 3 do Código de Processo Civil). Note-se que «as questões que integram o objecto do recurso e que devem ser objecto de apreciação por parte do tribunal ad quem não se confundem com meras considerações, argumentos, motivos ou juízos de valor. Ao tribunal ad quem cumpre apreciar as questões suscitadas, sob pena de omissão de pronúncia, mas não tem o dever de responder, ponto por ponto a cada argumento que seja apresentado para sua sustentação. Argumentos não são questões e é a estes que essencialmente se deve dirigir a actividade judicativa». Por outro lado, não pode o tribunal de recurso conhecer de questões novas que sejam suscitadas apenas nas alegações / conclusões do recurso – estas apenas podem incidir sobre questões que tenham sido anteriormente apreciadas, salvo os já referidos casos de questões de conhecimento oficioso, uma vez que os recursos são meros meios de impugnação das decisões judiciais pelos quais se visa a sua reapreciação e consequente alteração e/ou revogação [cfr. António Santos Abrantes Geraldes, Recursos em Processo Civil, Almedina, 2022 – 7.ª ed., págs. 134 a 142; Ac. STJ de 7/7/2016, proc. 156/12, disponível em http://www.dgsi.pt].
Nessa conformidade, são as seguintes as questões que cumpre apreciar:
- impugnação da decisão de facto;
- mérito da sentença recorrida, quanto à obrigação do R. de reembolso, aos AA., do valor de pagamentos efectuados a partir das contas de depósitos à ordem de que estes são titulares junto daquele (e respectivos juros de mora), bem como de os ressarcir dos danos não patrimoniais que tenham sofrido.

FUNDAMENTAÇÃO DE FACTO
A sentença sob recurso considerou como provados os seguintes factos:
«1. O réu é uma instituição bancária e tem como atividade o exercício da atividade bancária, incluindo todas as operações acessórias, conexas ou similares compatíveis com essa atividade e permitidas por lei.
2. Os autores celebraram com o réu, em conjunto, em 27 de janeiro de 2020, e a autora L... por si só, a título singular, em 30 de abril de 2020, dois contratos-quadro de abertura de conta.
3. Os autores são cotitulares da conta de depósito à ordem n.º X aberta no Banco CTT.
4. E a autora L... Vieira é a única titular da conta de depósitos à ordem n.º Z, aberta no mesmo Banco.
5. Relativamente a essas contas, para efeitos da sua movimentação, os autores contrataram a emissão pelo réu de cartões de débito e o acesso ao serviço de homebanking do Banco CTT, no âmbito do qual definiram as respetivas credenciais (username e password), não sendo estas conhecidas do réu.
6. No dia 14 de dezembro de 2022, próximo das 20h50m, a autora L... acedeu, através do seu computador pessoal, ao serviço homebanking disponibilizado pelo réu no contexto da relação bancária existente.
7. Para esse efeito, recorrendo à prática reiterada no uso de tal serviço, digitou “homebanking banco CTT” no motor de busca Google, e abriu o primeiro site que não tinha a indicação de ser um anúncio.
8. A autora L... foi encaminhada para outro site contrafeito por terceiros com o intuito de capturar ou comprometer as credenciais de acesso a instrumentos de pagamento do homebanking.
9. Na página aberta, e absolutamente convicta da sua fidedignidade, a autora L... inseriu o seu nome de utilizador e a sua palavra passe completa para fazer o login, visando aceder à sua conta.
10. O nome de utilizador e a palavra passe introduzida pela autora L... foram objeto de captura por terceiros não identificados, após a sua introdução na página de Internet falsa.
11. Uma vez inseridos tais dados, a página bloqueou, obrigando a autora a reiniciar a operação.
12. Por conseguinte, a autora repetiu o login, preenchendo novamente o seu nome de utilizador e inscrevendo a sua palavra passe.
13. De imediato, acedeu online à respetiva conta e procedeu à operação pretendida, em concreto a obtenção de um comprovativo de um pagamento, realizando de seguida o logout.
14. Na posse do nome de utilizador e palavra passe, os terceiros conseguiram iniciar o processo de instalação da aplicação mobile Banco CTT, em dispositivo que controlavam com o descritivo “samsung aosp”.
15. A instalação da aplicação mobile Banco CTT foi concluída às 20H:53M:50S.
16. A instalação foi realizada através de complexos meios informáticos escondendo a verdadeira origem do acesso, a partir de Cava de' Tirreni em Itália.
17. Nesse mesmo dia, 14 de dezembro 2022, a autora L... recebeu no seu telemóvel cinco SMS tendo como remetente o Banco CTT.
18. A primeira mensagem, enviada às 20h53, referia o seguinte: “para confirmar, introduza o código 793108”.
19. As restantes quatro mensagens, enviadas às 21h29, 21h30, 21h35 e 21h36, continham, e repetiam, o seguinte texto: “Informamos que ocorreu um erro no processamento de uma transação. Para mais detalhes, por favor consulte os Canais Digitais do Banco CTT”.
20. Estranhando a receção de tais SMS, a autora L..., no exato momento em que deles tomou conhecimento, acedeu às contas de que é titular e cotitular através da aplicação do Banco CTT instalada no seu telemóvel, tendo constatado que as contas bancárias apresentavam movimentos recentes.
21. Às 21h16m do dia 14.12.2022 foi realizada por terceiros não identificados uma transferência bancária no valor de €9.986,00 debitada da conta com o n.º …, titulada pelos autores, e creditada numa outra conta com o IBAN PT50 Y junto do Banco CTT, cuja titularidade pertence a P….
22. Às 21h21m também do dia 14.12.2022, foi realizado por terceiros não identificados um pagamento de serviços no valor de €8.000,00, debitado da conta com o n.º …, titulada pela autora L..., para a entidade XXXX, referência XXXXXX, com conta junto do Novo Banco.
23. Existia ainda registo de tentativas de subtração de valores adicionais, correlacionadas com os quatro SMS recebidos, as quais só não foram concretizadas por excederem o valor máximo diário para as operações de pagamento através da banca digital.
24. Os movimentos a débito foram realizados através da utilização da aplicação mobile Banco CTT pelos terceiros não identificados, a partir de um IP XXXXX localizado em Cava de' Tirreni, Itália.
25. Nenhum dos autores autorizou, confirmou ou consentiu, nem reconhece, qualquer das operações bancárias registadas.
26. Nenhum dos autores recebeu qualquer código via SMS, no telemóvel associado às suas contas bancárias, com indicação do valor e destinatário, para prévia autorização das operações a débito nos montantes de €9.986,00 e de €8.000,00.
27. Nenhum dos autores facultou ou usou, inserindo qualquer código de segurança que permitisse validar e confirmar as duas referidas operações a débito das contas.
28. O SMS recebido pela autora L... no seu telemóvel, com um código de confirmação, não identifica a operação a validar nem o respetivo montante.
29. A autora L... não introduziu o código recebido por SMS no dia 14 de dezembro de 2022 na página falsa.
30. Os autores não têm tradição de realizar operações em montantes que se aproximem de €9.986,00 e de €8.000,00.
31. A autora L... contactou o réu pelas 22h14m, do dia 14.12.2022, através da correspondente linha telefónica de apoio (número de telefone 212697144), a fim de se inteirar do sucedido e reverter as operações.
32. A operadora do réu comunicou à autora que a única ação possível naquele momento seria o cancelamento dos seus cartões bancários, o que esta diligenciou prontamente.
33. No dia seguinte, 15.12.2022, os autores deslocaram-se ao balcão de XXX do Banco CTT, onde, aproximadamente pelas 09h00m, reportaram de novo o sucedido.
34. Foi comunicado aos autores, por um funcionário do réu que o dinheiro transferido para a conta titulada por P… (no montante de €9.986,00) fora, entretanto descontado/debitado para realização de pagamentos e de levantamentos em numerário, restando somente na mencionada conta bancária um saldo de €8,15.
35. Em paralelo, foi feito o pedido de devolução de dinheiro à conta de P… e, para esse efeito, foi pedido aos autores o pagamento do custo associado a esse serviço, no valor de €25,00 que o réu posteriormente creditou aos autores.
36. Foi, ainda, recomendado pelo funcionário do réu aos autores que requeressem novos cartões bancários e que redefinissem os acessos ao banco online, o que aqueles fizeram de imediato.
37. Nesse mesmo dia, 15.12.2022, os autores apresentaram queixa junto da Polícia de Segurança Pública, a qual foi registada com o NUIPC XXXX (encontrando-se atualmente autuada como Processo n.º XXXX junto do Departamento de Investigação e Ação Penal de Lisboa – Secção Única).
38. Pelos mesmos factos, os autores lavraram reclamação no livro de reclamações do réu.
39. O réu respondeu a essa reclamação no dia 05.01.2023, declinando responsabilidade pelo sucedido.
40. No dia 19.12.2022, os autores, por carta subscrita por mandatária constituída para o efeito, interpelaram o réu para proceder à devolução do montante que lhes foi subtraído.
41. Nessa mesma data foi apresentada pela referida mandatária reclamação junto da plataforma online do Banco de Portugal.
42. No dia 20.12.2022, o réu fez publicar na sua página da internet um alerta de sites falsos em motores de busca utilizando o nome do Banco CTT.
43. Nesse mesmo dia, pelas 20h08m, a autora L... recebeu um SMS no seu telemóvel, com o seguinte escrito: “Para redefinir a sua palavra-passe do Homebanking, por favor volte a introduzir o nome de utilizador e depois insira o código 12815114”.
44. Estranhando essa mensagem, a autora L... Vieira ligou de imediato, pelas 20h09m, para a Linha de Apoio ao Cliente do Banco CTT (707288282), tendo sido instruída pela sua interlocutora para expor a situação por escrito através do endereço de correio eletrónico “reclamacoes@bancoctt.pt”.
45. Nessa esteira, no dia seguinte, em 21.12.2022, a autora L... enviou um email reportando a situação.
46. Nesse mesmo dia, pelas 17h42m, a autora L... recebeu um novo SMS remetido pelo réu, desta vez informando que, por questões de segurança, o banco iria proceder ao bloqueio dos seus acessos aos canais digitais.
47. No dia 22.12.2022, pelas 08h18m, a autora recebeu um email do réu subscrito por O…, com um pedido de indicação de um contacto válido e horário oportuno para a prestação dos esclarecimentos solicitados, email esse a que a autora respondeu pelas 08h27m, indicando o número pessoal de telemóvel e solicitando urgência na consumação do proposto contacto.
48. Nessa mesma data, entre as 09h00m e as 10h00m, a autora L... e o autor M…, dirigiram-se ao balcão da ré em XXX, de forma a se inteirarem sobre o sucedido, tendo-lhes sido comunicado que foi realizado um “reset total” às respetivas contas.
49. Por via desse procedimento, e segundo comunicado pelo funcionário do réu, os autores teriam de fazer nova adesão aos canais digitais, o que estes fizeram.
50. Ainda nessa data (22.12.2022), pelas 17h07m, a autora L... Vieira recebeu um SMS do réu com a seguinte comunicação: “Aviso de segurança: Deve aceder sempre ao seu Homebanking através do site oficial Banco CTT. Fique atento ao endereço obtido através de pesquisas. Recordamos que o Banco nunca pede a sua palavra-passe completa para aceder ao Homebanking. Se encontrar situações suspeitas, deverá contactar a Linha de Apoio.”
51. No dia 23.12.2022, pelas 14h50m, foi comunicado à autora L... por um funcionário do réu pertencente à agência de XXX, o desbloqueio dos canais digitais, com possibilidade de alteração das respetivas credenciais de acesso (nome de utilizador e palavra-passe) logo após a receção das SMS remetidas pelo Banco CTT.
52. Nesse dia, além da receção dos novos cartões que haviam sido remetidos pelo réu por expediente postal, os autores passaram a ter o homebanking funcional.
53. No dia 10 de janeiro de 2023 a autora L... reuniu na sede social do réu, com Q…, perante quem repetiu a insatisfação pela subsistente falta de resolução do assunto e, em especial, pela inexistência do reembolso exigível.
54. Em 16.01.2023, os autores reuniram nas instalações do réu com o Dr. S… e Dr. N… a quem foi reexposto o pedido fundamentado de reintegração patrimonial dos valores indevidamente descontados nas contas e, entre outros, depois de confrontados com a recusa desse pedido por potencial negligência da autora por utilização de um site falso, foi também solicitada pelos autores aos seus interlocutores a prova de ter sido observado o procedimento de autenticação de código nas operações (abusivas) realizadas e, em particular, o seguinte:(i) a indicação do código OTP que teria sido disponibilizado e supostamente digitado pela autora para validar a autenticação da aplicação no seu smartphone (dado que, alegadamente, a fraude concretizada por terceiros teria sido efetuada via App e, para tal, teria de ter sido enviado esse código para o número de telemóvel da autora L..., número esse associado à sua conta bancária); (ii) a indicação da hora em que esse código foi enviado por parte do Banco CTT e da hora em que o mesmo foi inserido na App; e (iii) a indicação da hora a que a App utilizada foi criada.
55. Em 16.06.2023, interpelaram novamente o réu para que reembolsasse os valores debitados, no entanto pelo réu foi declinada a responsabilidade.
56. O serviço de homebanking do réu não foi afetado por quaisquer avarias técnicas ou deficiências.
57. Na segunda quinzena do mês de dezembro de 2022, um número limitado de clientes do réu foi afetado por uma prática ilícita, promovida e executada por terceiros, não identificados, que lograram tomar conhecimento das suas credenciais de acesso a instrumentos de pagamento em homebanking.
58. Esses terceiros, sem ligação ou associação, a qualquer título, ao réu, lograram contratar anúncios publicitários junto de entidades que administram e exploram motores de busca na Internet (“Google” e “Microsoft Bing”), por forma a que qualquer cliente que introduzisse no sobredito motor de busca a expressão “homebanking Banco CTT” - ou outra idêntica – provavelmente encontraria nos lugares cimeiros dos resultados dessa pesquisa um dos mencionados anúncios (“Google Ads” ou “Microsoft Advertisement – Bing Ads”), criando-lhe a convicção (potenciada pelo uso generalizado destes motores de busca para variadíssimas finalidades) de que ao aceder-lhes estariam a aceder a uma página de Internet do Banco CTT.
59. Porém, ao aceder a tais anúncios, estava o cliente, na realidade, a ingressar (de modo automático) numa página de Internet falsa, artificiosamente criada por esses terceiros, com o intuito de se apropriarem de dados (maxime, credenciais de instrumentos de pagamento), para lograrem, posteriormente, pelo seu uso ilegítimo, realizar operações de pagamento (em particular transferências a débito e pagamentos).
60. Estas páginas de Internet falsas apresentavam endereços diferentes da página de acesso ao homebanking do Banco CTT acessível através de www.bancoctt.pt.
61. No acesso inicial a essas páginas de Internet falsas era solicitada aos clientes a introdução de todos os carateres da password (senha pessoal – código alfanumérico definido pelo cliente).
62. No acesso regular ao serviço de homebanking, a password (senha) não é introduzida pelo registo de todos os carateres que a compõe, mas tão somente pela introdução de alguns (correspondentes a posições da password aleatoriamente solicitadas de modo dinâmico, em cada processo de autenticação [acesso])
63. Na cláusula 2.3 do título respeitante à “prestação de serviços via telemática” das Condições Gerais de Abertura de Conta do réu, é estabelecido que “Para aceder ao serviço o Cliente deverá utilizar o sítio da Internet www.bancoctt.pt e cumprir os procedimentos estabelecidos pelo Banco para o efeito”.
64. Os valores subtraídos do património dos autores consubstanciavam as suas poupanças, constituídas com o produto do seu trabalho ao longo dos tempos.
65. A sucessão de diligências encetadas pelos autores para reverter a situação causou aos autores um profundo desgaste, uma constante angústia e uma extrema ansiedade, não só pela perda efetiva de dinheiro, como também pelo empenho constante, e oneroso, com o escopo, frustrado, de lograr a recuperação das suas poupanças.
66. Os autores sofreram essa perda material em plena época festiva, o que lhes retirou o ânimo, alegria e bem-estar associados ao espírito da época e os impediu de poder desfrutar de um normal Natal em família, sem poder presentear os seus entes queridos e adquirir alguns bens que, se não fosse o incidente, não deixariam de realizar.
67. Desde o dia 14 de dezembro de 2022, os autores mantêm um constante e persistente, receio na tramitação de qualquer transação que careça de ser realizada por via dos canais digitais dada a preocupação de uma reincidência de outra indesejada perda material.
68. Os autores perderam tempo para esgotar a resolução do assunto e para poder recuperar as suas credenciais.
69. Não conseguiram os autores ainda recuperar grande parte do seu ânimo, alegria e disponibilidade emocional para ultrapassar o logro de que foram vítimas.
70. Os autores tinham marcado o seu casamento para o dia 17 de junho de 2023, com lua de mel subsequente ao Vietnam, planeando todo o evento de forma muito afincada, criteriosa e tendo por conforto o dinheiro objeto das suas poupanças.
71. Em resultado do inusitado expurgo do montante total de €17.986,00 da sua titularidade, para além de reequacionarem a própria realização do casamento por não o poderem realizar da forma que desejaram, idealizaram e sonharam, os autores ficaram compelidos a abdicar de inúmeras atividades e serviços, como sucedeu com o vídeo booth 360, com a instalação de letras iniciais luminosas correspondentes ao nome dos noivos no jardim da quinta onde foi organizada a cerimónia, com o aluguer de viaturas para o noivo e para a noiva, com todo o serviço de decorações florais na quinta e em casa dos noivos, com a equipa de bailarinos que previam contratar e com o catering em casa de cada um dos noivos.
72. Os autores foram forçados a pedir um empréstimo de €8.500,00 junto de familiares para não incorrer em incumprimento e/ou perda quanto a alguns dos serviços já anteriormente reservados, contratados e parcialmente pagos – como sucedeu com a reserva do espaço (quinta) e respetivo catering, balões, fotógrafos e videógrafos, e com o vestido de noiva.
73. Os autores sempre foram profundamente avessos à contratação de mútuos, pelo que o facto de não terem alternativa a solicitar um empréstimo a familiares para evitar a perda dos valores pagos e a prestação dos serviços contratados gerou em ambos um perene constrangimento, a par de uma profunda angústia, ansiedade e desgaste, sentimentos esses associados a uma impressão de vexame e humilhação pela incapacidade de não poderem cumprir, por si, com as obrigações assumidas perante terceiros».
A decisão recorrida considerou como não provados os seguintes factos:
«A. Pelas 14h07m do dia 22.12.2022, a autora L... recebeu um contacto telefónico encetado pela Senhora O…, a revelar que o réu estava a enfrentar uma situação terrível, por ocorrência de uma multiplicidade de ataques informáticos a atingir um número significativo de clientes, que o Banco CTT estaria a tentar debelar, perspetivando um provável reembolso dos valores expurgados das contas.
B. O réu, nos dias 17 e 18 de novembro de 2022, enviou e-mail a toda a carteira de clientes, com o assunto “Esteja Sempre Seguro com o Banco CTT” com as advertências: “Aceda diretamente no browser e certifique-se de que a ligação é segura”; “não partilhe nenhum tipo de dados confidenciais”; “No Banco CTT nunca lhe pedimos que partilhe os seus dados de login ou códigos de segurança por e-mail, SMS, WhatsApp ou telefone”.
C. É recorrentemente recomendado pelo réu aos seus clientes que o acesso ao serviço de homebanking ocorra a partir do acesso ao sítio da Internet www.bancoctt.pt.
D. As páginas de Internet falsas apresentavam uma aparência gráfica diferente da página de acesso ao homebanking do Banco CTT acessível através de www.bancoctt.pt.
E. As diferenças da página falsa deviam ter sido notadas pela autora L....
F. Iniciado o processo de instalação da app mobile Banco CTT foi automaticamente gerada uma One Time Password (“OTP”) para ser utilizada para esse efeito.
G. Essa OTP foi automaticamente enviada por SMS para o telemóvel que a autora L... tem indicado junto do réu.
H. Os terceiros não identificados solicitaram que a autora L... introduzisse a referida OTP na página de Internet falsa, tendo a autora L... partilhado esse código (OTP) com os mencionados terceiros, introduzindo-o na página de internet contrafeita.
I. O processo de instalação da app mobile Banco CTT no equipamento controlado por terceiros, foi consumado com a introdução do OTP enviado à autora L... e por esta introduzido na página falsa controlada por esses terceiros.
J. Era do conhecimento da autora L... que nunca era solicitada a introdução completa da senha (password), com inscrição de todos os seus carateres, mas apenas posições aleatoriamente selecionadas, a cada momento (de forma dinâmica, portanto) pelo sistema.
K. A autora L... estava familiarizada com o procedimento de autenticação do sistema de homebanking do réu.
L. As operações foram autenticadas, através de elementos de autenticação, devidamente registadas e contabilizadas».

APRECIAÇÃO DO MÉRITO DO RECURSO:

Da impugnação da decisão acerca da matéria de facto
Nos termos do art.º 662.º n.º 1 do Código de Processo Civil, a Relação deve alterar a decisão proferida sobre a matéria de facto, se os factos tidos como assentes, a prova produzida ou um documento superveniente impuserem decisão diversa.
Como refere António Santos Abrantes Geraldes (Recursos em Processo Civil, 7.ª ed., págs. 333 e ss.), «sem embargo da correcção, mesmo a título oficioso, de determinadas patologias que afectam a decisão da matéria de facto (v.g. contradição) e também sem prejuízo do ónus de impugnação que recai sobre o recorrente e que está concretizado nos termos previstos no art.º 640.º, quando esteja em causa a impugnação de determinados factos cuja prova tenha sido sustentada em meios de prova submetidos a livre apreciação, a Relação deve alterar a decisão da matéria de facto sempre que, no seu juízo autónomo, os elementos de prova que se mostrem acessíveis determinem uma solução diversa, designadamente em resultado da reponderação dos documentos, depoimentos e relatórios periciais, complementados ou não pelas regras de experiência». A modificação deverá, ainda, ocorrer sempre que «o tribunal recorrido tenha desrespeitado a força plena de certo meio de prova» ou «quando for apresentado pelo recorrente documento superveniente que imponha decisão diversa».
Conforme resulta dos arts. 341.º do Código Civil e 607.º n.º5 do Código de Processo Civil, tendo as provas por função «a demonstração da realidade dos factos», «o juiz aprecia livremente as provas segundo a sua prudente convicção acerca de cada facto», embora a livre apreciação não abranja «os factos para cuja prova a lei exija formalidade especial, nem aqueles que só possam ser provados por documentos ou que estejam plenamente provados, quer por documentos, quer por acordo ou confissão das partes».
Assim, desde que para a prova não exista norma legal que exija formalidade especial ou prova documental, e desde que não se trate de matéria provada plenamente, seja por documento, confissão ou acordo das partes, as provas produzidas estão sujeitas ao princípio da livre apreciação pelo tribunal.
Claro que livre apreciação não equivale a arbitrariedade, e é por isso que o n.º 4, do mesmo art.º 607.º, exige que o juiz analise criticamente a prova e indique todos os elementos que foram decisivos, assim objectivando [e tornando sindicável] a sua convicção.
Nesse sentido, para que um facto se considere provado, tem-se vindo a exigir que a prova produzida preencha o chamado standard da prova (nível mínimo de corroboração de uma hipótese para que esta possa ser aceite como verdadeira) que vigora em processo civil, que é o da probabilidade prevalecente^[1]. Ou seja, consideradas as regras do ónus da prova (art.º 342.º do Código Civil), é necessário que, a partir das provas produzidas, a versão constante destes pontos da sentença mereça uma confirmação lógica maior do que a versão contrária. Se assim não for, tais factos têm de considerar-se não provados (cfr. art.º 414.º do Código de Processo Civil).
Acresce que, como se refere no Ac. RP de 21/6/2021 (proc. 2479/18, disponível em http://www.dgsi.pt), «mantendo-se em vigor, em sede de Recurso, os princípios da imediação, da oralidade, da concentração e da livre apreciação da prova, e guiando-se o julgamento humano por padrões de probabilidade e nunca de certeza absoluta, o uso, pelo Tribunal da Relação, dos poderes de alteração da decisão da 1.ª instância sobre a matéria de facto só deve ser efectuado quando seja possível, com a necessária segurança, concluir pela existência de erro de apreciação relativamente a concretos pontos de facto impugnados. Assim, a alteração da matéria de facto só deve ser efectuada pelo Tribunal da Relação, quando este Tribunal, depois de proceder à audição efectiva da prova gravada, conclua, com a necessária segurança, no sentido de que os depoimentos prestados em audiência final, conjugados com a restante prova produzida, apontam em direcção diversa, e delimitaram uma conclusão diferente daquela que vingou na primeira Instância».
Particularmente no caso da prova testemunhal e por declarações de parte (e desde que não estejamos perante factos de prova vinculada), é de salientar que, havendo vários depoimentos / declarações contraditórios entre si, as regras da sua apreciação não são matemáticas, ou seja, um facto não é considerado provado ou não provado consoante exista um maior ou menor número de pessoas a afirmá-lo ou a contrariá-lo. Ainda que apenas uma pessoa afirme um facto, enquanto todas as outras o negam, e ainda que várias pessoas afirmem um facto, enquanto apenas uma o nega, esse facto pode ser considerado provado / não provado, conforme a apreciação que seja feita dos depoimentos / declarações, com base na sua credibilidade, coerência, isenção, razão de ciência, distanciamento, conjugação com outros meios de prova (v.g., documental) e conjugação com as regras da experiência. Aliás, ainda que todas as pessoas ouvidas afirmem determinado facto, o mesmo pode ser considerado não provado - basta que os depoimentos / declarações não sejam credíveis (porque, por exemplo, as pessoas têm interesse na decisão da causa e não se mostraram objectivas na sua narração, o seu conhecimento não é directo, os depoimentos / declarações foram contraditórios ou foram de tal forma coincidentes que se afiguram «ensaiados», não é possível que aquelas pessoas, nas circunstâncias concretas, tivessem conhecimento daqueles factos…). E não se pode olvidar que o tribunal de primeira instância se encontra em posição privilegiada para levar a cabo tal tarefa de apreciação, ponderação e discernimento, uma vez que contacta directa e presencialmente (ou, mesmo que à distância, com imagem) com as pessoas ouvidas e, portanto, pode aperceber-se dos aspectos relevantes da linguagem não verbal – expressões faciais, postura, gestos, hesitações. Significa isto que, salvo casos de flagrante erro de avaliação por parte do tribunal de primeira instância (v.g., uma testemunha em que o tribunal se baseou claramente está a efabular, o seu depoimento é contrariado por prova documental ou pericial fiável, os factos que narrou não podiam – de acordo com as regras da experiência ou outras – ter acontecido daquela forma, aquilo que disse não foi o que o tribunal entendeu…), não há que alterar a matéria de facto fixada na sentença. Dito de outra forma, em caso que não seja de prova legal, deve confiar-se na avaliação efectuada em primeira instância, a não ser que a prova produzida implique, necessariamente, decisão diversa.
Note-se, também, que «quando a apreciação da impugnação deduzida contra a decisão de facto da 1.ª instância seja, de todo, irrelevante para a solução jurídica do pleito, ainda que a tal impugnação satisfaça os requisitos formais prescritos no art.º 640.º n.º 1 do Código de Processo Civil, não se justifica que a Relação tome conhecimento dela, à luz do disposto no art.º 608.º n.º2 do Código de Processo Civil» (cfr. Ac. STJ de 23/1/2020, proc. 4172/16, disponível em https://jurisprudencia.csm.org.pt)^[2]. Caso contrário, estaríamos a praticar um acto inútil, proibido à luz do art.º 130.º, do mesmo diploma.
Balizadas que estão as regras que nos orientarão, passemos à apreciação da pretensão do recorrente, que é a seguinte:
A - Seja considerada provada a matéria constante da alínea c) dos factos não provados [«É recorrentemente recomendado pelo réu aos seus clientes que o acesso ao serviço de homebanking ocorra a partir do acesso ao sítio da Internet www.bancoctt.pt»];
B - Seja considerada provada a matéria constante da alínea d) dos factos não provados [«As páginas de Internet falsas apresentavam uma aparência gráfica diferente da página de acesso ao homebanking do Banco CTT acessível através de www.bancoctt.pt»];
C - Seja considerada provada a matéria constante da alínea f) dos factos não provados [«Iniciado o processo de instalação da app mobile Banco CTT foi automaticamente gerada uma One Time Password (“OTP”) para ser utilizada para esse efeito»];
D - Seja considerada provada a matéria constante da alínea g) dos factos não provados [«Essa OTP foi automaticamente enviada por SMS para o telemóvel que a autora L... tem indicado junto do réu»];
E - Seja considerada provada a matéria constante da alínea h) dos factos não provados [«Os terceiros não identificados solicitaram que a autora L... introduzisse a referida OTP na página de Internet falsa, tendo a autora L... partilhado esse código (OTP) com os mencionados terceiros, introduzindo-o na página de internet contrafeita»];
F - Seja considerada provada a matéria constante da alínea i) dos factos não provados [«O processo de instalação da app mobile Banco CTT no equipamento controlado por terceiros, foi consumado com a introdução do OTP enviado à autora L... e por esta introduzido na página falsa controlada por esses terceiros»];
G - Seja considerada provada a matéria constante da alínea j) dos factos não provados [«Era do conhecimento da autora L... que nunca era solicitada a introdução completa da senha (password), com inscrição de todos os seus carateres, mas apenas posições aleatoriamente selecionadas, a cada momento (de forma dinâmica, portanto) pelo sistema»];
H - Seja aditado à matéria provada que «Nenhum problema ou vicissitude afetou os sistemas informáticos do Banco CTT no dia 14.12.2022»;
I - Seja aditado à matéria provada que «As transações reclamadas pelos aqui Autores foram devidamente autenticadas, contabilizadas e registadas» [o que, embora não referido pelo R., corresponde ao facto não provado enunciado na alínea L): «As operações foram autenticadas, através de elementos de autenticação, devidamente registadas e contabilizadas»].
Vejamos.
Relativamente à alínea c) dos factos não provados [«É recorrentemente recomendado pelo réu aos seus clientes que o acesso ao serviço de homebanking ocorra a partir do acesso ao sítio da Internet www.bancoctt.pt»], o tribunal a quo justificou a sua convicção da seguinte forma: «a alínea C não se pode considerar provada porque não foi junta qualquer prova do alegado. O réu não juntou um único mail, mensagem, aviso com essa recomendação. A autora negou ter alguma vez ter sido alertada nesse sentido. Nem as testemunhas puderam assegurar que esta advertência alguma vez havia sido feita antes deste ataque». O R. pretende que esta matéria seja considerada provada, fundando-se, para tanto, no depoimento da testemunha N…. Esta testemunha, sendo funcionária do R. na área da investigação de fraude, referiu que o R. enviava SMS e e-mails aos clientes, no sentido de deverem aceder ao home banking apenas através do endereço oficial do banco, sendo certo que na página deste de internet apareciam também dicas de segurança. No entanto, não conseguiu precisar as datas de tais informações, pensando que eram anteriores à situação em causa nos autos, mas sem certezas absolutas. Ora, este depoimento parece-nos manifestamente insuficiente para considerar provados os factos constantes da alínea D) em referência, não só porque a testemunha não tinha a certeza das datas em que foram feitas as recomendações (e, por isso, não só não sabia, com segurança, se as mesmas foram anteriores aos factos dos autos, como não pôde garantir que houve recomendações reiteradas no tempo), mas também porque a mesma se referiu a dicas dadas aos clientes em geral, não referindo que especificamente aos AA. tenham sido enviados SMS ou e-mails. Aliás, como menciona o tribunal recorrido, o R. não juntou qualquer prova documental relativa ao envio daquelas mensagens - e poderia tê-lo feito. Não se encontram, pois, suficientemente corroborados os factos em causa e, portanto, devem os mesmos manter-se na matéria não provada.
Em relação à alínea d) dos factos não provados [«As páginas de Internet falsas apresentavam uma aparência gráfica diferente da página de acesso ao homebanking do Banco CTT acessível através de www.bancoctt.pt»], o tribunal recorrido discorreu da seguinte forma: «as alíneas D e E ficaram por demonstrar porque não foi apresentada qualquer imagem da referida página falsa. O que as testemunhas referiram foi que as páginas têm sempre endereços diferentes da página verdadeira do banco, pois terminam com outras letras que não “pt” ou possuem mesmo dizeres diferentes para além de “www.bancoctt.pt”. Mais disserem que o tipo de letra por vezes não é o mesmo ou o símbolo está a faltar. Tais diferenças, tipo de letra, ausência de símbolo, ou mesmo o endereço http, consideram-se não ser suficientes para um utilizador comum como a autora ter notado que estava numa página falsa, pois como a própria disse, as cores eram as mesmas, o banco vinha identificado. Além do que referiu que não era utilizadora habitual desta página pois preferia usar a aplicação do telemóvel. Assim, não se pode ter como provado que as diferenças da página falsa fossem evidentes para o olho da autora L... ou de um utilizador comum como ela». O R. pugna por que seja considerada provada tal matéria, fundando-se, mais uma vez, no depoimento da testemunha N…. Ora, diga-se, desde logo, que é irrelevante apurar se todas as páginas falsas apresentavam, ou não, uma aparência diversa em relação à página oficial do R. - apenas releva saber se essa aparência diversa ocorria, ou não, quanto à página a que acedeu a A.. Acontece que a testemunha N… disse que, efectivamente, analisou onze páginas falsas, sendo que todas tinham diferenças gráficas em relação à do R., umas mais notórias do que outras. Porém, disse também não saber a que página acedeu a A. - ou seja, a A. pode ter acedido a uma outra página diversa das onze que a testemunha analisou, pelo que não se pode afirmar se existiam, ou não, as mencionadas diferenças gráficas. Por seu turno, a A., nas suas declarações de parte, afirmou que o sítio a que acedeu tinha uma aparência «normal», com uma imagem, cor e tipo de letra idênticas às da aplicação móvel. Não foi apresentada qualquer outra prova, designadamente, documental. Deste modo, não existe qualquer probabilidade prevalecente de que os factos em causa tenham ocorrido, razão pela qual devem permanecer na matéria não provada.
Quanto às alíneas f), g), h) e i) dos factos não provados [«F) Iniciado o processo de instalação da app mobile Banco CTT foi automaticamente gerada uma One Time Password (“OTP”) para ser utilizada para esse efeito; G) Essa OTP foi automaticamente enviada por SMS para o telemóvel que a autora L... tem indicado junto do réu; H) Os terceiros não identificados solicitaram que a autora L... introduzisse a referida OTP na página de Internet falsa, tendo a autora L... partilhado esse código (OTP) com os mencionados terceiros, introduzindo-o na página de internet contrafeita; I) O processo de instalação da app mobile Banco CTT no equipamento controlado por terceiros, foi consumado com a introdução do OTP enviado à autora L... e por esta introduzido na página falsa controlada por esses terceiros»], entendeu o tribunal de primeira instância que «As alegações não provadas nas alíneas F a I não foram sustentadas por prova evidente de que foi assim que a instalação da aplicação no dispositivo móvel detido pelo terceiro foi possível. Conforme já se deixou escrito supra acerca do ponto 29 dos factos provados, não há a certeza que o código enviado para o telemóvel da autora L... tivesse como propósito a instalação da aplicação, porque o mesmo não contem esse detalhe. Não se sabe também, porque o réu não juntou tal prova, se aquele código foi o mesmo que foi introduzido pelos terceiros no seu dispositivo nem se foi com este código que foi concluída a instalação da aplicação. Como se disse, o réu não juntou prova cabal deste procedimento, o que lhe competia. As testemunhas também não souberam confirmar que foi este o código utilizado. A autora, por seu lado, nega perentoriamente e sempre o fez perante o banco, ter introduzido tal código na página falsa ou em qualquer outro local. Diz até a autora que só viu a mensagem com o código após ter visto as outras mensagens com aviso de erro da transação. Mais uma vez o banco réu não juntou, o que lhe era possível obter, registo de leitura das mensagens, podendo com isso demonstrar pelo menos quando é que as mensagens enviadas foram lidas pela autora. Assim, na falta de outra prova que não as declarações da autora, as quais, como se referiu, foram prestadas de forma muito consistente e credível, teve-se esta matéria por provar, a qual era do ónus do réu».
O R. pede que estes factos sejam considerados provados, fundando-se nas declarações de parte da A. e no depoimento da testemunha N…. Ora, a A. disse que só mais tarde, já depois de se ter apercebido de que foram realizadas as transacções em causa nos autos, leu a mensagem em causa - portanto, a A. desconhecia a que é que se destinava a mensagem, tanto mais que do teor da mesma não consta a operação que pretendia validar. Já a testemunha N… disse que o código se destinou à instalação da aplicação móvel por terceiros, sendo que tal instalação se processou com normalidade. No entanto, mais uma vez, as declarações desta testemunha não foram suportadas por qualquer documento que o R. tenha juntado aos autos - e podia tê-lo feito. Aliás, o R. não só não juntou documentação comprovativa daquilo que alegou (e do que a testemunha disse), como não invocou qualquer impossibilidade de o fazer. Desde modo, o depoimento em causa, desacompanhado de outra prova, mostra-se insuficiente para o efeito pretendido e, assim, têm de manter-se nos factos não provados as supra transcritas alíneas F) e G). E, quanto às alíneas H) e I), sempre se mostraria inviável introduzi-las na matéria provada, já que as mesmas entrariam em contradição directa com o facto provado n.º 29 [«a autora L... não introduziu o código recebido por SMS no dia 14 de dezembro de 2022 na página falsa»], que não foi abrangido pela impugnação da decisão de facto constante do recurso.
Em relação à alínea j) dos factos não provados [«Era do conhecimento da autora L...  que nunca era solicitada a introdução completa da senha (password), com inscrição de todos os seus carateres, mas apenas posições aleatoriamente selecionadas, a cada momento (de forma dinâmica, portanto) pelo sistema»], o tribunal a quo discorreu do seguinte modo: «As alíneas J) e K) ficaram por demonstrar por a autora L... ter declarado, acompanhada pelo autor M…, que não era utilizadora habitual do homebanking, preferindo a aplicação móvel. Tais declarações não foram contrariadas por qualquer outro meio de prova. Novamente há que apontar que o banco poderia ter junto registo das utilizações do homebanking feitas pela autora, provando a sua frequência, o que não fez. Nem a prova testemunhal ouvida contrariou esta afirmação da autora, pelo que, em face da ausência de outros meios de prova, se deu como não provado o seu conhecimento a familiaridade com os procedimentos de autenticação do banco». Não vemos como contrariar este raciocínio: efectivamente, a A. afirmou, de modo assertivo, que apenas utilizara o home banking cerca de duas vezes, porque em geral a aplicação móvel satisfazia as suas necessidades [tendo o A. marido explicado que a esposa apenas recorreu daquela vez ao computador, porque lhe havia sido pedido um comprovativo de um pagamento a que não conseguiu aceder no telemóvel], sendo que, quando lhe foi pedida a palavra-passe completa, pensou que, como já não acedia ao serviço há muito tempo, se tratasse de um processo de autenticação «forte». Nenhuma da outra prova produzida aludiu a qualquer habitualidade da A. no recurso ao home banking, pelo que, de forma nenhuma, se pode concluir que seja provável que a A. tivesse conhecimento dos factos em causa. Deve, pois, a alínea J) permanecer na matéria não provada.
Quanto ao pretendido aditamento, à matéria provada, de que «Nenhum problema ou vicissitude afetou os sistemas informáticos do Banco CTT no dia 14.12.2022», a pretensão do recorrente não pode senão decorrer de lapso, uma vez que os correspondentes factos constam já do ponto 56 da sentença, onde figura como facto provado que «O serviço de homebanking do réu não foi afetado por quaisquer avarias técnicas ou deficiências». Nada existe, assim, a apreciar neste ponto.
Naquilo que respeita ao peticionado aditamento, à matéria provada, de que «As transações reclamadas pelos aqui Autores foram devidamente autenticadas, contabilizadas e registadas», o mesmo não se mostra viável, atendendo a que se trata de factos conclusivos, encerrando uma conclusão de direito - o que se impunha era que o R. indicasse, para inclusão na matéria provada, quais os concretos procedimentos de autenticação, contabilização e registo que implicava o uso da sua plataforma e quais os que foram levados a cabo e, da comparação entre uns e outros, poder-se-ia, aquando da aplicação do direito aos factos (que consiste numa operação ulterior e independente da decisão de facto), concluir se os procedimentos realizados foram, ou não, os devidos.  Não há, pois, sequer que considerar a impugnação da decisão de facto, nesta parte, uma vez que a matéria que o recorrente pretendia aditar encerra um juízo de direito.
Em suma, improcede, na totalidade, a impugnação da decisão de facto, que deve manter-se incólume.

Do mérito da decisão de Direito:
Os presentes autos reportam-se às consequências que os AA. pretendem fazer extrair do invocado incumprimento, por parte do R., de determinados contratos de utilização de homebanking, associados a contas de depósito à ordem de que são titulares.
A este respeito, provou-se, antes de mais, que os AA. celebraram com o réu, em conjunto, em 27 de janeiro de 2020, um contrato de abertura de conta, e que a autora L... por si só, em 30 de abril de 2020, celebrou com o R. um outro contrato de abertura de conta.
«O contrato de abertura de conta^[3] consiste num acordo estabelecido entre uma entidade bancária e um cliente “através do qual se constitui, disciplina e baliza a respectiva relação jurídica bancária”. Assim, este contrato constitui o ponto de partida^[4] para o complexo contratual que compõe a relação bancária e opera como “fio condutor e integrador dos diferentes negócios concretos que as partes venham a celebrar.” A abertura de conta caracteriza-se por se tratar de um contrato atípico embora correspondendo, hoje em dia, a um tipo social cuja disciplina jurídica assenta nas cláusulas contratuais gerais e nos usos bancários. (…) Tendo em vista o início de uma relação contratual duradoura como é a relação bancária, através da abertura de conta, o banco pretende definir e determinar as suas bases gerais, deixando em aberto a celebração de ulteriores contratos bancários. Por essa razão, o seu clausulado inclui regras que extravasam o contrato singular, fazendo referência a “produtos comercializados” pela entidade bancária e que dependem da vontade do cliente, apontando, desta forma, para o intuito de iniciar uma relação mais complexa. Contudo, isto não significa que da abertura de conta derivam deveres de contratar no futuro, apesar de se poder identificar deveres de disponibilidade para negociar e mesmo de negociação. (…) A relação contratual bancária criada entre o banco e o cliente apenas irá alcançar densidade económica e negocial através da celebração futura de vários contratos bancários especiais e renovar-se-á sucessivamente através da movimentação da conta. Estes contratos bancários referidos são, por exemplo, o contrato de depósito, de abertura de crédito, de emissão de cartão e de home banking, e inserem-se no conteúdo contratual complexo do contrato de abertura de conta, qualificando-se como convenções acessórias embora mantendo a sua autonomia^[5]».
É assim que a relação contratual emergente do contrato de abertura de conta, que tradicionalmente se desenrolava apenas mediante sucessivos depósitos e levantamentos de dinheiro, tem-se vindo a complexificar, dando origem a uma rede negocial que constitui a relação bancária, onde se inserem outras figuras contratuais, associadas ao contrato de abertura de conta e com o mesmo interligadas, constituindo uma união de contratos. Tal complexo negocial tem por base «o convénio principal e (…) vai ter a sua existência e razão de ser no mesmo, continuando o banco a ter a obrigação de guardar o dinheiro depositado, restituindo-o quando e se lhe for solicitado; sobre os depositantes [e sobre o depositário], poderão acrescer outros deveres, consoante as obrigações que forem assumindo (…) por via» de outras relações «negociais encetadas e às quais podem ter acesso por serem titulares daquele contrato de conta bancária^[6]».
No caso dos autos, provou-se que, além dos contratos de abertura de conta, foram também celebrados entre AA. e R. contratos de depósito bancário (cfr. pontos 3 e 4 da matéria de facto), contratos de utilização de cartão de débito (cfr. ponto 5 da matéria de facto) e ainda contratos de utilização de serviços de home banking (cfr. o mesmo ponto 5 da matéria de facto).
Contrato de depósito bancário é aquele em que uma pessoa entrega algo de seu a uma instituição bancária, na medida da confiança que o comportamento e a solvabilidade dessa instituição lhe transmitam, para que o guarde ou movimente, mas lhe restitua em valor, nos termos desse mesmo contrato. É o chamado depósito irregular, a que se reportam os arts. 1205.º e 1206.º do Código Civil, já que o objecto material desse contrato é uma coisa fungível, como dinheiro corrente^[7]. E, como depósito irregular que é, nele estrutura-se a obrigação de restituir o capital depositado, por parte do depositário, logo que lhe seja exigido [cfr. art.º 1.º n.º 1 a) e n.º 2 do DL 430/91 de 2-11].
Contrato de utilização de cartão de débito é aquele em que por uma instituição bancária é emitido e entregue ao cliente um cartão que permite, através de terminais electrónicos, aceder directa e imediatamente à conta bancária do titular, operando a mobilização das suas disponibilidades monetárias, quer pelo levantamento de numerário, quer pelo pagamento directo das aquisições de bens ou serviços, sem que seja necessário recorrer a qualquer outro meio^[8].
Contrato de home banking ou de banca electrónica é aquele em que a instituição bancária «confere ao cliente a possibilidade de efectuar consultas de saldos e de realizar operações bancárias, maxime pagamentos e transferências, relativamente às contas de que seja titular e que possa movimentar livremente, utilizando para o efeito o telefone (serviço telefónico) ou a internet (serviço online)^[9]».
Conforme resulta do art.º 2.º i) do DL 91/2018 de 12-1^[10] (Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica^[11]), os contratos de utilização de cartão de débito e de home banking constituem contratos-quadro em relação às sucessivas operações de transferência electrónica de fundos ordenadas através do cartão / através da internet. «Assim, cada vez que o cliente emite uma ordem de pagamento a favor de terceiro através do sistema informático posto à disposição pelo banco, é celebrado um novo contrato de execução» do contrato-quadro. «Esta figura contratual potência uma multiplicidade de contratos subsequentes, simplificados, na sua conclusão e execução, através do recurso a meios electrónicos. Estes contratos de execução resultam de tantos acordos de vontade quantos os contratos celebrados, não se cingindo a simples actos de execução de um contrato anterior^[12]», embora sejam por ele enformados.
Isto posto, temos que, conforme resulta da matéria provada, no dia 14/12/2022, foram efectuados um movimento a débito na conta titulada por ambos os AA. (no valor de € 9.986,00), bem como  um movimento a débito na conta titulada apenas pela A. mulher (no valor de € 8.000,00), não tendo tais movimentos sido realizados, nem autorizados, por nenhum dos autores, mas antes levados a cabo por terceiros não identificados, através de uma aplicação móvel que instalaram depois de terem obtido o nome de utilizador e a palavra-passe da A. mulher, o que conseguiram quando aquela A. acedeu a uma página falsa de home banking, convencida de que se tratava da página oficial do R., ali introduzindo aqueles dados.
Tendo os AA. reclamado, junto do R., a restituição de tais quantias, este não a efectuou, por ter considerado que os danos resultaram de comportamento culposo da própria A..
Vejamos.
Nos termos do art.º 103.º n.ºs 1 a 5 do RJSPME, «uma operação de pagamento ou um conjunto de operações de pagamento só se consideram autorizados se o ordenante consentir na sua execução», sendo certo que «o consentimento deve ser dado previamente à execução da operação», «na forma acordada entre o ordenante e o respetivo prestador do serviço de pagamento». Na falta desse consentimento, «considera-se que a operação de pagamento não foi autorizada».
Por outro lado, prevê o art.º 104.º, do mesmo diploma, que, caso o ordenante aceda em linha à sua conta de pagamento, inicie uma operação de pagamento electrónico, ou realize uma acção, através de um canal remoto, que possa envolver um risco de fraude no pagamento ou de outros abusos, o prestador de serviço de pagamento deverá aplicar a autenticação forte do cliente, devendo adoptar medidas de segurança suficientes para proteger a confidencialidade e a integridade das credenciais de segurança personalizadas do utilizador. As normas técnicas de regulamentação daquela autenticação forte são elaboradas pela EBA, em colaboração com o BCE, nos termos do art.º 98.º n.º 1 da Directiva (UE) 2015/2366, do Parlamento Europeu e do Conselho, de 25 de novembro de 2015^[13].
Para além destes requisitos – necessidade de autorização do ordenante e autenticação forte –, e considerados os riscos de utilização de meios de pagamento electrónicos, o RJSPME estabelece especiais obrigações do utilizador dos serviços e do respectivo prestador, repartindo depois tais riscos entre ambos. Com efeito, «no uso electrónico do instrumento de pagamento, encontramo-nos no âmbito de sistemas informáticos que permitem concretizar as operações de pagamento, mas comportam naturalmente riscos. A segurança do sistema estará dependente da actuação diligente de todos os seus utilizadores e intervenientes. Assim, há-de fazer-se uma repartição dos prejuízos entre as partes, tendo em consideração a actuação de cada uma delas no cumprimento dos deveres que lhe são impostos^[14]».
É assim que, de acordo com o art.º 110.º, daquele diploma:
«1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objectivas, não discriminatórias e proporcionais; e
b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.
Por outro lado, prevê o art.º 111.º n.º1 a), também do RJSPME, que «o prestador de serviços de pagamento que emite um instrumento de pagamento deve assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior».
Caso ocorra uma operação de pagamento não autorizada, que dê origem a uma reclamação, nomeadamente ao abrigo dos arts. 130.º e 131.º, refere o art.º 112.º n.º1, do mesmo diploma, que «o utilizador do serviço de pagamento obtém do prestador de serviços de pagamento a rectificação» dessa operação, «se comunicar a operação ao prestador de serviços de pagamento logo que dela tenha conhecimento e sem atraso injustificado, e dentro de um prazo nunca superior a 13 meses a contar da data do débito».
Quanto à prova da existência, ou não, de autorização ou de autenticação, rege o art.º 113.º do RJSPME, que estabelece que, caso o utilizador negue ter autorizado a operação executada, incumbe ao prestador do serviço fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência do serviço prestado. No entanto, a utilização do instrumento de pagamento registada pelo prestador de serviços não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais das obrigações previstas no art.º 110.º. Nessas situações, o prestador de serviços deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento (cfr. n.ºs 3 e 4 do art.º 113.º). É que, «em face do carácter diabólico que assumiria a demonstração por parte do utilizador de serviços de pagamento de um facto negativo – a não prestação de consentimento em dada operação de pagamento – a lei inverte o ónus da prova, em caso de operação de pagamento não autorizada. Esta inversão é ainda justificada pelo facto de os prestadores de serviços de pagamento estarem vinculados a observar um grau de competência técnica acrescido, que se reflecte na utilização de sistemas informáticos sofisticados e robustos e de técnicas de registo detalhadas, que lhes permitem obter elementos sobre a operação de pagamento reclamada^[15]».
Em caso de operação de pagamento não autorizada, e respeitado o disposto no art.º 112.º, refere o art.º 114.º, também do RJSPME, que o prestador de serviços deverá reembolsar imediatamente o ordenante do montante dessa operação, após ter tido conhecimento da mesma, a não ser que tenha motivos razoáveis para suspeitar de actuação fraudulenta do ordenante e desde que comunique esses motivos, por escrito, às autoridades judiciárias.
Pelo contrário, conforme resulta do art.º 115.º, do mesmo diploma, será o ordenante a suportar todas as perdas resultantes de operações de pagamento não autorizadas se aquelas forem devidas a actuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 110.º. Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento. Porém, se o prestador de serviços não exigir a autenticação forte do ordenante, este não deve suportar quaisquer perdas relativas a operação de pagamento não autorizada, salvo se tiver agido fraudulentamente.
Transportando este regime para o caso sub judice, temos que se provou que as operações realizadas em 14/12/2022 nas contas dos AA. não foram autorizadas, confirmadas ou consentidas por estes.
Assim, caberia ao R., em princípio reembolsar os AA. das quantias movimentadas, nos termos do art.º 114.º do RJSPME.
No entanto, alegou o R. que as operações em causa foram realizadas por terceiros, que conseguiram aceder aos meios de pagamento electrónicos dos AA. por via de comportamento culposo da A. mulher, ao incumprir as obrigações previstas no artigo 110.º do RJSPME, o que excluiria a responsabilidade do R., em conformidade com o disposto no citado art.º 115.º, do mesmo diploma.
A este propósito, provou-se que, na cláusula 2.3 dos contratos celebrados entre AA. e R., consta que «para aceder ao serviço [via telemática] o cliente deverá utilizar o sítio da internet www.bancoctt.pt e cumprir os procedimentos estabelecidos pelo banco para o efeito».
O R. entende que a A. não cumpriu aquela cláusula, já que, em vez de digitar, no computador, aquele endereço, digitou no motor de busca Google a expressão «home banking banco CTT» e abriu o primeiro sítio que não tinha a indicação de ser um anúncio, tendo sido encaminhada para um sítio contrafeito por terceiros, com o intuito de capturarem as credenciais de acesso a instrumentos de pagamento electrónico.
Ao contrário do que pretende o R., não vemos naquele comportamento da A. qualquer violação da cláusula 2.3 dos contratos. Com efeito, em tal cláusula prevê-se que o cliente deverá utilizar o sítio aí identificado, mas não que tenha de digitar directamente esse endereço na sua página de internet, podendo perfeitamente diligenciar por aceder ao mesmo através de um motor de busca. E também não se provou que a A. tenha fornecido aos terceiros que criaram o sítio de internet falso o código que lhe foi enviado para o telemóvel. Ou seja, por essa via, não se provou a violação das obrigações previstas no art.º 110.º n.º 1 do RJSPME.
De qualquer forma, ainda que se entendesse ter ocorrido aquela violação, seria, ainda, necessário que se provasse que a mesma adveio de negligência grosseira da A..
Tendo em conta que, conforme resulta do art.º 1.º n.º 1 do RJSPME, o DL 91/2018 de 12-11 transpôs para a ordem interna portuguesa a Directiva (UE) 2015/2366 do Parlamento Europeu e do Conselho de 25 de Novembro de 2015, os considerandos desta Directiva são preciosos auxiliares na interpretação dos conceitos legais. Assim, é de assinalar que, de acordo com o respectivo considerando n.º 72, «para avaliar a eventual negligência ou negligência grosseira cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias. Os elementos de prova e o grau da alegada negligência deverão ser avaliados nos termos do direito nacional. Todavia, embora o conceito de negligência implique uma violação do dever de diligência, a negligência grosseira deverá significar mais do que mera negligência, envolvendo uma conduta que revela um grau significativo de imprudência; por exemplo, conservar as credenciais utilizadas para autorizar uma operação de pagamento juntamente com o instrumento de pagamento, num formato que seja aberto e facilmente detectável por terceiros. As modalidades e condições contratuais relativas ao fornecimento e à utilização de um instrumento de pagamento que tenham por efeito agravar o ónus da prova que recai sobre o consumidor ou atenuar o ónus da prova que recai sobre o emitente deverão ser consideradas nulas e sem efeito. Além disso, em situações específicas e, nomeadamente quando o instrumento de pagamento não estiver presente no ponto de venda, como sucede no caso de pagamentos em linha, é adequado que o prestador de serviços de pagamento seja obrigado a apresentar provas da alegada negligência, uma vez que o ordenante apenas dispõe de meios muito limitados para o efeito em tais casos».
Em consonância com aquele considerando, e como se refere no Ac. RL de 19/12/2024^[16], «o conceito de negligência grosseira é aferido nos termos aplicáveis à responsabilidade civil (art.º 487.º, n.º 2 do CC), “que remete para a comparação entre o comportamento concretamente adoptado pelo agente e o que seria observado nas mesmas circunstâncias de facto por um utilizador do serviço de pagamento normalmente informado, diligente e cuidadoso, pois este é o padrão referencial ou parâmetro de aferição a considerar para apurar do grau de reprovação ou censura de que é merecedor a conduta do utilizador (o grau de reprovação ou de censura será tanto maior quanto mais ampla for a possibilidade de a pessoa ter agido de outro modo), donde resulta que a culpa grosseira ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do (contraria o) grau de diligência minimamente exigível e da observância de deveres de cuidado (resultantes da relação jurídica) ostensivamente evidentes, patentes e manifestos, traduzindo desconsideração do proceder expectável a qualquer comum utilizador do serviço de pagamento minimamente cuidadoso, apresentando-se como altamente reprovável à luz do mais elementar senso comum, revelando desconformidade com todos os padrões de referência. À míngua de outro critério legal, o padrão de conduta exigível ao utilizador do serviço, rectius, o padrão com que se mede o grau de diligência exigível é o prescrito no artigo 487.º, n.º 2, do CC. Deste modo, a culpa (juízo de censura ético) será apurada por referência ao modelo de uma pessoa-tipo, um sujeito ideal, o tipo de homem médio ou normal, medianamente sagaz, prudentemente avisado e cuidadoso (fazendo reportar estas qualidades ao do utilizador do serviço em causa) que utiliza tais serviços. (…) A negligência grosseira será de afirmar, destarte, quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de cuidado e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes – comportamento que de todo seria adotado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adotar e/ou prosseguir”».
Na apreciação do grau de culpa do utilizador não se pode olvidar que o fim pretendido pelo RJSPME com a distribuição do risco inerente ao uso de meios de pagamento electrónico é o de proteger o utilizador que, consabidamente, é a parte mais fraca na relação, face à diversidade de meios, designadamente informáticos, ao dispor da entidade bancária para prevenir e detectar fraudes. É o que resulta, desde logo, do preâmbulo do DL 91/2018 de 12-11, onde se refere que o diploma tem como objectivos fundamentais «preocupações relacionadas com a protecção e segurança dos consumidores na utilização desses serviços de pagamento (…) preservando a escolha do consumidor em melhores condições de segurança, eficácia e eficiência de custos. A segurança dos pagamentos electrónicos afigura-se como um aspecto fundamental para assegurar a protecção dos utilizadores e a promoção adequada do desenvolvimento do comércio electrónico em condições concorrenciais».
No caso dos autos, não surpreendemos qualquer comportamento da A. atentatório do grau mínimo de diligência exigível ao utilizador médio dos serviços digitais. Como, aliás, é realçado na sentença recorrida, o recurso ao motor de busca Google para aceder a um sítio é o comportamento usual da grande maioria dos utilizadores que, como é evidente, não sabem de cor os endereços dos sítios que pretendem utilizar. Por outro lado, apesar de se ter provado que o endereço a que a A. acedeu era diferente do da página de acesso ao home banking do R., não se provou que essa diferença fosse facilmente detectável (já que não se provou qual o endereço concreto da página em causa). Além disso, não consta da matéria provada que, em algum momento, o R. tenha avisado a A. para a circunstância de não ser seguro aceder ao seu sítio através daquele (ou de outro) motor de busca. Muito menos se pode considerar que a circunstância de a A. ter digitado, no sítio «falso», como ali foi solicitado, o seu nome de utilizador e palavra-passe completa (ao contrário do que acontece no serviço regular de home banking, em que somente é pedida a introdução de alguns caracteres da palavra-passe), constitua qualquer desatenção indesculpável. É que se provou que a A. agiu absolutamente convicta da fidedignidade da página e, por outro lado, não se provou que a A. estivesse familiarizada com o procedimento de autenticação do sistema de homebanking do réu, ou que tivesse conhecimento de que nunca era solicitada a introdução completa da sua senha, nem sequer que tivesse sido previamente alertada pelo R. para essa circunstância, designadamente, que este lhe tenha comunicado o modo correcto de utilizar as credenciais de acesso ao sistema de home banking. Também não se provou a existência de qualquer circunstância que pudesse ter alertado a A. para a falta de fidedignidade da página. E, tal como é igualmente assinalado na decisão do tribunal a quo, «é configurável que [a A.] não soubesse que o banco não pedia a palavra passe completa, mas apenas alguns dos seus dígitos. É que esta forma de acesso não é também algo que o homem médio tenha a obrigação de conhecer por si só. Conforme é do conhecimento geral, as várias instituições bancárias têm mecanismos de acesso diferentes, por vezes e até como medida de segurança, alteram a modalidade de acesso. Há vários bancos que pedem a introdução da palavra passe completa. E outro que não. Não é por isso exigível à autora que saiba em cada momento se o seu banco pede ou não a palavra passe completa e, muito menos, que tivesse a obrigação de suspeitar da fidedignidade do site quando tal lhe é pedido».
Face ao exposto, não estando configurada a existência de negligência grosseira da A., e não tendo sido invocada, pelo R. (para poder provar, ónus que lhe incumbia - cfr. art.º 113.º n.º 4 do RJSPME), a existência de qualquer intencionalidade ou comportamento fraudulento por parte dos AA., cabe ao R., em conformidade com o disposto no já citado art.º 114.º n.ºs 1 e 10 (com referência ao art.º 115.º, n.ºs 3 e 4, a contrario) do RJSPME, reintegrar o seu património em valor correspondente ao das operações não autorizadas [deduzido dos € 500,00 que os AA. já receberam e relativamente aos quais foi formulada redução do pedido], acrescido de juros de mora, à taxa legal, somada de 10 pontos percentuais, contados da data em que os AA. comunicaram ao R. que não autorizaram as mencionadas operações (o que ocorreu no próprio dia 14/12/2022). Nada existe, assim, nesse aspecto, a censurar à decisão recorrida.
Quanto aos danos não patrimoniais, diz-nos o art.º 496.º n.º 1 do Código Civil que deve atender-se àqueles que, pela sua gravidade, mereçam a tutela do direito. A gravidade do dano há-de medir-se por um padrão objectivo (conquanto a apreciação deva ter em linha de conta as circunstâncias de cada caso), e não à luz de factores subjectivos (de uma sensibilidade particularmente embotada ou especialmente requintada) - cfr. Antunes Varela, Das Obrigações em Geral, vol. I, 7.ª ed., pág. 600. O dano deve ser de tal modo grave que justifique a concessão de uma satisfação de ordem pecuniária ao lesado. Já o simples incómodo é destituído de relevância jurídica, porque não é ofensivo de um bem com dignidade suficiente para merecer a tutela indemnizatória.
A este respeito, com interesse, provaram-se os factos constantes dos pontos 64 a 72 da sentença.
Ora, os factos descritos constituem danos não patrimoniais dignos da tutela do Direito – de um ponto de vista objectivo, justifica-se plenamente a atribuição de uma indemnização àqueles que foram sujeitos a situações de profundo desgaste, constante angústia e extrema ansiedade, por se terem visto privados de todas as suas poupanças, constituídas com o produto do seu trabalho e, assim, se viram impedidos de desfrutarem de um normal Natal em família e, sobretudo, dada a falta de  meios financeiros com que se viram confrontados, de desfrutarem da sua festa de casamento e lua-de-mel tal como os haviam planeado.
O R. encontra-se obrigado a reparar aqueles danos, dada a violação da obrigação imposta pelo referido art.º 114.º n.º do RJSPME (cfr. o n.º 10, parte final, daquele art.º 114.º, com referência aos arts. 798.º e 799.º do Código Civil).
Como não é possível a reconstituição natural (art.º 566.º n.º 1 do C.C.), o que se visa é a atribuição de uma quantia pecuniária, no sentido de proporcionar um prazer alternativo, susceptível de fazer esquecer a dor, a fixar equitativamente (arts. 496.º n.º 4 e 494.º do C.C.).
Levando-se em consideração as angústias que os AA. sofreram e o período temporal pelo qual duraram, entende-se ser adequada e proporcionada a atribuição da quantia de € 2.000,00 a cada um, tal como consta da sentença.
Sobre tal montante são devidos juros de mora, até integral pagamento, à taxa legal (arts. 566.º n.º 2 e 804.º a 806.º do C.C.), sendo certo que a R. não pôs em causa, no recurso, a data a partir da qual os juros foram contabilizados na sentença (a da citação).
Face a tudo o exposto, soçobra o recurso.

DECISÃO
Pelo exposto, acorda-se em julgar improcedente a apelação, mantendo-se a decisão recorrida.
Custas pelo recorrente – art.º 527.º do Código de Processo Civil.

Lisboa, 11-03-2025
Alexandra de Castro Rocha
Ana Rodrigues da Silva
José Capacete

_______________________________________________________
^[1] A este respeito pode ver-se, com grande desenvolvimento, o Ac. RL de 17/10/2017, proc. 585/13, disponível em http://www.dgsi.pt, onde se refere, além do mais, que a verdade apurada no processo não é absoluta, antes se baseando em «duas regras fundamentais:
(i)- Entre as várias hipóteses de facto deve preferir-se e considerar-se como verdadeira aquela que conte com um grau de confirmação relativamente maior face às demais;
(ii)- Deve preferir-se aquela hipótese que seja “mais provável que não”, ou seja, aquela hipótese que é mais provável que seja verdadeira do que seja falsa”.
“Este critério da probabilidade lógica prevalecente (…) não se reporta à probabilidade como frequência estatística mas sim como grau de confirmação lógica que um enunciado obtém a partir das provas disponíveis. (…) O que o standard preconiza é que, quando sobre um facto existam provas contraditórias, o julgador deve sopesar as probabilidades das diferentes versões para eleger o enunciado que pareça ser relativamente “mais provável”, tendo em conta os meios de prova disponíveis. Dito de outra forma, deve escolher-se a hipótese que receba apoio relativamente maior dos elementos de prova conjuntamente disponíveis. Todavia, pode acontecer que todas as versões dos factos tenham um nível baixo de apoio probatório e, nesse contexto, escolher a relativamente mais provável pode não ser suficiente para considerar essa versão como “verdadeira”. Pelo que para que um enunciado sobre os factos possa ser escolhido como a versão relativamente melhor é necessário que, além de ser mais provável que as demais versões, tal enunciado em si mesmo seja mais provável que a sua negação. Ou seja, é necessário que a versão positiva de um facto seja em si mesma mais provável que a versão negativa simétrica».
^[2] A este respeito pode ver-se, ainda, o Ac. RC de 27/5/2014 (proc. 1024/12, disponível em http://www.dgsi.pt): «Não há lugar à reapreciação da matéria de facto quando o (s) facto (s) concreto (s) objecto da impugnação for insusceptível de, face às circunstância próprias do caso em apreciação, ter relevância jurídica, sob pena de se levar a cabo uma actividade processual que se sabe, de antemão, ser inconsequente».
^[3] Também denominado contrato de conta bancária.
^[4] No dizer de Engrácia Antunes, o «contrato bancário primogénito» - cfr. Direito dos Contratos Comerciais, Almedina, pág. 483.
^[5] Cfr. Maria Carolina dos Santos Gomes França Barreira, Home Banking A Repartição dos Prejuízos Decorrentes de Fraude Informática, Fevereiro de 2015, págs. 9-10, disponível em https://cij.up.pt/download-file/1342.
^[6] Cfr. Ac. STJ de 18/12/2013, proc. 6479/09, disponível em http://www.dgsi.pt.
^[7]Cfr. Ac. do STJ de 19/10/1993, Sub Judice / Novos estilos, 10, pág. 173.
^[8] Cfr. Ac. do STJ de 23/11/1999, proc. 99A796, disponível em http://www.dgsi.pt.
^[9] Cfr. Maria Carolina…Barreira, ob. cit., pág. 16.
^[10] «Para efeitos do presente Regime Jurídico, entende-se por “contrato-quadro” um contrato de prestação de serviços de pagamento que rege a execução futura de operações de pagamento individuais e sucessivas e que pode enunciar as obrigações e condições para a abertura de uma conta de pagamento».
^[11] Doravante, RJSPME.
^[12] Cfr. Maria Carolina…Barreira, ob. cit., págs. 15-16.
^[13] Cfr., a este respeito, as informações divulgadas pelo Banco de Portugal, disponíveis nas hiperligações https://www.bportugal.pt/comunicado/eba-esclarece-o-mercado-sobre-os-elementos-de-autenticacao-forte-do-cliente e https://www.bportugal.pt/page/autenticacao-forte .
^[14] Cfr. Raquel Sofia Ribeiro de Lima, A responsabilidade pela utilização abusiva on-line de instrumentos de pagamento electrónico na jurisprudência portuguesa, in Revista Electrónica de Direito, Outubro de 2016, nº3, FDUP, pág. 36.
^[15] Cfr. Patrícia Guerra, A realização de operações de pagamento não autorizadas e a tutela do utilizador de serviços de pagamento em face do Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, in Revista Electrónica de Direito, Junho de 2016, nº2, pág. 26.
^[16] Proc. n.º15407/23, disponível em https://www.dgsi.pt/jtrl.nsf/33182fc732316039802565fa00497eec/dca9485bc8c74c5c80258c140056afe2?OpenDocument