Sumário: (elaborado pela relatora e da sua inteira responsabilidade - art. 663º, nº 7 do Cód. Proc. Civil)
I - No âmbito do serviço de homebanking, para se desonerar da responsabilidade de reembolso ao cliente das perdas por este sofridas, decorrentes de operações fraudulentas sobre a sua conta, incumbe à entidade bancária, na qualidade de prestadora de serviços de pagamento, a prova: (i) que as operações de pagamentos que executou foram devidamente autenticadas pelo cliente, e devidamente registadas e contabilizadas (artigo 113º, nºs 1 e 2 do Decreto Lei nº 91/2018, de 12 de Novembro); (ii) que tais operações de pagamento não foram afectadas por avaria técnica ou qualquer outra deficiência do serviço de pagamento prestado pela entidade bancária na qualidade de prestadora de serviços (mesmas normas); (iii) que o cliente, na qualidade de utilizador de serviços de pagamento, actuou de forma fraudulenta ou incumpriu de forma deliberada uma ou mais das suas obrigações decorrentes do art. 110º do Decreto Lei nº 91/2018, de 12 de Novembro, ou actuou com negligência grosseira (nºs 3 e 4 do citado artigo 113º).
II – Age com negligência grosseira, o cliente, utilizador de serviços de pagamento, que, apesar de estranhar a janela “Atualização do módulo de Segurança” surgida na página do site a que acedeu, indagando, inclusive, junto da gestora de conta, se seria “um vírus”, prosseguiu a navegação nessa página e aí colocou códigos que, entretanto, recepcionou no seu telemóvel através de SMS, acompanhados dos respectivos textos, validando operações bancárias que não estava a realizar, nem pretendia efectuar.

Acordam na 7ª Secção do Tribunal da Relação de Lisboa:
I – RELATÓRIO
“…, Restauração, Unipessoal, Lda” intentou a presente acção declarativa sob a forma de processo comum contra “Caixa Económica Montepio Geral”, pedindo a condenação da Ré no pagamento da quantia de € 19.190,00, a título de indemnização, acrescida de juros de mora vencidos.
Alegou, para o efeito, em síntese, que: é titular de uma conta bancária na Ré e que, em 19/10/2020, acedeu à referida conta através da plataforma de homebanking da Ré para obter um extracto de conta; durante o seu acesso a tal plataforma, foram efectuadas transferências bancárias e um levantamento em numerário através do cartão de crédito, no valor total de € 19.190,00, por terceiro(s) não identificado(s), sem o conhecimento e conhecimento da Autora, o que é imputável à Ré.
A Ré contestou defendendo a improcedência da acção; alegando, em suma, que não lhe é imputável qualquer responsabilidade, uma vez que agiu de acordo com as normas e usos aplicáveis à situação em concreto, não tendo sofrido qualquer ataque ao seu sistema informático; e, pelo contrário, a Autora violou todos os avisos de segurança transmitidos pela Ré, no seu site, quer para as técnicas de phishing, quer de pharming.
Foi realizada audiência prévia, onde foi proferido despacho saneador e fixado o objecto do litígio e os temas da prova.
Efectuada a audiência final, foi proferida sentença julgando improcedente a acção.
Inconformada, a Autora recorre desta decisão, requerendo a respectiva revogação, terminando as suas alegações de recurso com as seguintes Conclusões:
“A. O recurso, em que impugna a matéria de facto e de direito, tem por objeto a sentença do Tribunal a quo, em que se considerou ter existido uma atuação com negligência grosseira pela Autora e afastou a responsabilidade da Ré no ressarcimento das quantias que foram retiradas da conta da Autora e peticionadas nos presentes autos, julgando a ação improcedente.
B. Desde logo, verifica-se um lapso de escrita nos factos 2 e 6 provados que se requer que seja corrigido, porquanto os factos em causa ocorreram em 19/10/2020 e não a 19/10/2019, como se pode verificar nos factos 18 e 20 provados, referentes a uma reunião que ocorreu no dia imediatamente a seguir, e nos quais já consta o ano correto – ano 2020.
C. Acresce que, com o devido respeito, o Tribunal a quo fez uma errada avaliação da prova testemunhal e documental, designadamente das declarações de parte da legal representante da Autora, dos depoimentos das testemunhas AA e BB e do Doc. 1 da PI.
D. A errónea apreciação dos factos conduziu a que os factos 33 e 34 provados tivessem uma incorreta redação e os factos 3 e 4 não provados fossem considerados não provados.
E. No que respeita aos factos 33 provados e 4 não provado, salienta-se que, como a Ré admite na contestação (art. 17º), à data dos factos, e com referência ao contrato celebrado com a Autora, a conta de depósitos à ordem funcionava com quatro níveis de segurança, nos quais se incluía o cartão matriz.
F. A existência do cartão matriz à data dos factos é comprovada pelas declarações de parte da legal representante da Autora transcritas supra, que referiu que para efetuar transferências, recebia uma mensagem para o telemóvel e depois tinha o cartão matriz a seguir.
G. O Tribunal recorrido teve em conta o testemunho de BB, que referiu que a partir de 2019 o cartão matriz começou a ser descontinuado, mas permaneceu a dúvida sobre o que estava em vigor a 19/10/2020 (data dos factos), em relação ao contrato da Autora: se seriam quatro passos de segurança cumulativos (PIN, código de acesso, SMS code e cartão matriz), se seriam quatro passos de segurança em que dois deles (SMS code e cartão matriz) eram alternativos entre si, ou ainda, se havia apenas três passos de segurança e já tinha terminado o cartão matriz.
H. Perante a incerteza deste depoimento e face as declarações de parte, que confirma o alegado pela Ré no artigo 17º da sua contestação, deve o facto 33 dado como provado ser alterado, no sentido de o mesmo passar a ter a seguinte redação:
“À data dos factos e por referência ao contrato celebrado com a A. relativamente à conta de depósitos à ordem de que a A. é titular, funcionava em 4 níveis de segurança, designadamente:
a) Número de utilizador;
b) Password, composta por seis dígitos, que constitui um código PIN multicanal;
c) Cartão Matriz;
d) SMS CODE, que consiste em associar o número de telemóvel do cliente ao homebanking por forma a que, no momento da realização de uma operação de que resultem alterações patrimoniais, o sistema envia um código via SMS para o seu telemóvel.”
I. E o facto 4 não provado ser eliminado por ser semelhante ao facto 33 com a formulação que acima se requer supra ou, caso assim não se entenda, seja o mesmo considerado como provado.
J. No que concerne ao facto 34 provado, salienta-se que este facto está em clara contradição com os factos 6, 7 e 9 a 11 provados, dos quais decorre que a Autora enviou à sua gestora de conta uma foto através da aplicação whatsapp e de seguida enviou-lhe uma mensagem de texto às 13h20.
K. O contacto feito pela legal representante da Autora à gestora de conta está documentado nos autos sob o Doc. 2 da PI, além de que a legal representante da Autora e a testemunha AA – gestora de conta da Autora – admitiram esse contacto (cfr. transcrições supra).
L. Assim, requer-se a alteração do facto 34. provado, de modo a que o mesmo tenha a seguinte formulação: “A A. não contactou o balcão ou o serviço Phone 24”.
M. Por outro lado, mal andou o Tribunal a quo ao julgar como não provado o facto 3 da matéria de facto não provada, por considerar que “as declarações de parte desacompanhadas de outros meios de prova” revelam-se “insuficiente para a prova” desse facto.
N. A prova por declarações de parte deve merecer a mesma credibilidade das demais provas legalmente admissíveis, sendo apreciada livremente pelo tribunal e podem, e neste caso, devem estribar a convicção do Tribunal de forma autossuficiente.
O. Decorre das declarações de parte da legal representante da Autora, que esta nunca desconfiou que a introdução dos respetivos códigos de autorização, que lhe foram enviados através de SMS, iria desencadear a realização de qualquer tipo de transferência, muito menos das transferências que foram efetuadas.
P. Tratando-se de um facto pessoal da Autora, só por declarações de parte o mesmo poderia ser provado.
Q. Acresce que o facto 3 não provado está em contradição com o facto 15 provado pois, se a Autora não estranhou as solicitações para introdução dos códigos sms pelos motivos acima indicados, naturalmente não desconfiou que a introdução dos códigos de autorização ia provocar a realização de transferências.
R. Ora, se a Autora não conhecia as contas para as quais foram realizadas as transferências e não teve a intenção de realizar qualquer outro tipo de transferência ao aceder à plataforma de homebanking (factos 23 e 24 provados), certo é que se existisse alguma desconfiança da Autora que a colocação de tais códigos desencadearia a realização de transferências para terceiros, não tinha introduzido tais códigos, sobretudo quando o seu propósito, ao aceder à referida plataforma, era apenas obter um extrato bancário.
S. Assim, face às declarações de parte da legal representante da Autora transcritas supra e à contradição existente com o artigo 15 provado, deve o facto 3 dado não provado ser considerado provado.
T. No caso concreto, a Autora pretende ser indemnizada pelos danos patrimoniais que sofreu na sequência de ter sofrido uma burla informática relacionada com os serviços de homebanking da R..
U. Está aqui subjacente uma relação negocial complexa iniciada entre as partes por um contrato de abertura de conta, no âmbito da qual aquelas subscreveram um novo contrato (de homebanking) destinado a permitir a consulta e movimentação da conta através da internet.
V. Sucede que, neste caso, a situação correu mal, pois, quando a Autora tentava consultar e obter um extrato bancário no serviço de homebanking, ocorreu um desvio de uma determinada quantia da sua conta, contra a sua vontade, por ação de terceiros, da qual ficou desembolsada.
W. Estamos no âmbito de fraudes online como “phishing” e o “pharming”, sendo que o presente caso se assemelha mais, salvo melhor entendimento, a uma situação de “pharming”.
X. Aos factos em apreço aplicam-se as regras estabelecidas no Decreto-Lei n.º 91/2018, de 12 de novembro, designadamente as regras estabelecidas no Título III do referido diploma, com especial relevância para o artigo 110º n.º 1 e 2, 111º, 113º n.º 1, 3 e 4 do referido diploma.
Y. Face ao enquadramento legal acima indicado, a Ré só não será responsável pelo reembolso à Autora dos valores que foram retirados da conta bancária, caso se prove que a Autora, enquanto cliente e ordenante, atuou de forma fraudulenta, ou incumpriu de forma deliberada ou com negligência grave os deveres/obrigações decorrentes da utilização do serviço de homebanking, nomeadamente, as respetivas regras de segurança.
Z. Mais, impende sobre o banco o risco de falhas e do deficiente funcionamento do sistema (como decorreria também do artigo 796º do C.C.), impendendo sobre este o ónus da prova de que a operação de pagamento não foi afetada por avaria técnica ou qualquer outra deficiência técnica.
AA. Compreende-se este regime, pois resulta das boas regras impostas por lei aos bancos que os serviços de pagamento bancários, presenciais ou eletrónicos, prestados aos seus clientes, seja seguro, eficiente e seguro.
BB. No caso sub iudice, e tendo em consideração a factualidade provada, mal andou o Tribunal a quo ao considerar que existiu negligência grosseira da Autora ao colocar os códigos de acesso na plataforma.
CC. A negligência grave (ou grosseira) corresponde à falta grave e indesculpável, consistente na omissão dos deveres a que se está adstrito que só uma pessoa especialmente desleixada, descuidada e incauta deixaria de observar (cfr. Acórdãos do Tribunal da Relação de Lisboa, de 15/03/2016 e 29/09/2022, Processos n.º 1063/12.1TVLSB.L1-1 e 15455/20.9T8LSB.L1-6 respetivamente, em www.dgsi.pt).
DD. Ora, da análise dos factos provados, verificamos que a legal representante da Autora não forneceu quaisquer credenciais de segurança a terceiros voluntariamente.
EE. O que sucedeu foi que no momento em que a Autora acedeu eletronicamente à sua conta bancária, com o propósito de obter um extrato, e ao selecionar a opção “Extratos Digitais” na plataforma eletrónica, apareceu imediatamente no ecrã uma janela de “Atualização do módulo de segurança”, cujo propósito seria proteger o computador da Autora contra eventuais ataques cibernéticos.
FF. A atualização não ocorreria de imediato, levando alguns minutos para ser concluída e para garantir a segurança do procedimento iriam ser solicitadas informações à Autora (conforme factos 2 a 4 provados).
GG. No Doc. 1 da PI, referente à imagem (print screen) com a dita “Atualização do módulo de Segurança”, é possível verificar que i) a janela de atualização surge imediatamente por cima da página do Banco Montepio, ii) a janela de atualização tem um símbolo em tudo semelhante ao do Banco Montepio – ou seja um fundo branco com um pelicano, iii) a indicação de “Trusteer on I&m Company” parece indiciar uma empresa de segurança cibernética a quem o banco encarregou de proceder à atualização, e iv) no interior da janela consta, entre outros, que “Para garantir sua segurança durante o processo, alguns dados serão solicitados”.
HH. Face à disposição gráfica e textual da imagem do computador, tudo parecia indiciar que a imagem era fidedigna e provinha do banco; a Autora estava na página do banco e, portanto, teve naturalmente a convicção de aquela mensagem é do banco.
II. Qualquer pessoa mediana e cuidadosa não teria suspeitado da intromissão de terceiros ao observar a referida janela e até as testemunhas da Ré (AA e CC) referiram em Tribunal que o print screen do computador da Autora não lhes levantava suspeita, conforme depoimentos transcritos supra.
JJ. Ainda assim, e por uma questão de cautela, a legal representante da Autora enviou uma mensagem de WhatsApp à gestora de conta a questionar o que era aquilo, pois tinha efetuado vários log-in e log-off na plataforma Net24Empresas, e nunca desapareceu a janela de atualização (factos 7 e 8 provados), mas a gestora de conta não respondeu de imediato e, durante o tempo que mediou a mensagem à gestora e a resposta desta, sempre com a referida janela de atualização ativa, foram enviados três códigos de autorização através de SMS pela Ré, para o telemóvel da Autora.
KK. Imediatamente após o envio de cada um dos códigos de autorização apareciam novas janelas no ecrã do computador da Autora, sobrepostas à referida janela de atualização, com uma mensagem a solicitar à Autora que inserisse os referidos campos de autorização no campo para o efeito, que se encontrava nessa mesma mensagem sobreposta, para que a atualização pudesse ser concluída (factos 11 e 12 provados).
LL. E aqui salienta-se que da janela de “Atualização do módulo de Segurança”, constava já que “Para garantir sua segurança durante o processo, alguns dados serão solicitados”.
MM. Perante o exposto, a Autora, de todas as três vezes que lhe foi solicitado, inseriu no computador os códigos que lhe foram enviados para o telemóvel, sendo certo que após a introdução dos referidos códigos e à medida que a Autora ia introduzindo, o percentual da conclusão da “atualização” aumentava até ter estagnado por vários minutos nos 98% (facto 14).
NN. A Autora não estranhou as solicitações para introdução dos códigos sms, pois os códigos foram enviados pelo banco para o número de telemóvel da Autora (facto 16 provado) e de acordo com a alteração que se requereu supra relativamente ao facto 4 não provado - que deve considerar-se como provado -, a Autora nunca desconfiou que a introdução dos respetivos códigos de autorização que lhe foram enviados através de SMS iria desencadear a realização de qualquer tipo de transferência, muito menos das transferências que foram efetuadas.
OO. Ora face ao circunstancialismo provado, qualquer pessoa, mediamente sagaz e cuidadosa, poderia ser induzida em erro e teria tido exatamente o mesmo comportamento que a Autora teve.
PP. Como se considerou no Acórdão do Tribunal da Relação de Lisboa, de 15/03/2016, Processo n.º1063/12.1TVLSB.L1-S1, em www.dgsi.pt “nem, pela própria natureza das coisas, se pode qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta(‘phishing’,‘pharming’,‘keylogging’)como gravemente negligente. Essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder qualificada como grosseiramente negligente ela não pode ser suscetível de ser levada a cabo por um número significativo dos homens médios” (conforme Acórdão do Tribunal da Relação de Lisboa, de 15/03/2016, Processo n.º1063/12.1TVLSB.L1-S1, em www.dgsi.pt).
QQ. Na verdade, considerando a imagem, o local onde surgia a imagem de “Atualização”, o seu grafismo, tudo levou a que a Autora tivesse a convicção de que se tratava de uma atualização do banco e que as mensagens eram genuínas.
RR. O facto de na mesma constar a informação de que alguns dados iam ser solicitados e o facto de terem aparecido outras janelas sobrepostas à referida janela de atualização no computador da Autora, com uma mensagem a solicitar que fossem inseridos os referidos campos de autorização no campo para o efeito, conduziram também a que aquela criasse a convicção que se trataria de uma atualização normal.
SS. Mais, as mensagens que a Autora estava a receber com os códigos SMS foram enviadas pela própria Autora, tendo criado na Autora a convicção de que a colocação dos códigos no site era, além de necessária para se proceder à atualização do sistema solicitada na plataforma eletrónica do banco, fidedigna.
TT. Além de que não foram solicitados os dados do cartão matriz como sucedia para os casos das transferências bancárias.
UU. Apesar de não constar dos factos provados e não provados, o que deve ter sucedido é que, imediatamente após a Autora ter acedido eletronicamente à sua conta, alguém de forma fraudulenta conseguiu introduzir-se no sistema enviando a mensagem como se a mesma fosse enviada pela Ré, ou então, a Autora pensando estar na página da Ré, eventualmente entrou numa página web falsa, vítima da referida fraude denominada “pharming”, e forneceu os códigos porque estava convicta que os estava a fornecer à Ré para o referido processo de atualização.
VV. Esta atitude não pode ser qualificada como de negligência grosseira porquanto, em bom rigor, a Autora não forneceu quaisquer credenciais de segurança a terceiros voluntariamente.
WW. As informações que a Autora terá alegadamente facultado, não foram facultadas a terceiro, pois limitou-se a colocar na plataforma eletrónica do banco os códigos SMS que ela estava a receber do próprio banco, na convicção de que os mesmos tinham de ser colocados para finalizar a atualização que estava pendente.
XX. Acresce o facto da percentagem do processo de atualização aumentar à medida que a Autora ia colocando os códigos que lhe estavam a ser enviados, o que de facto inculca a ideia, para um utilizador normal e cuidadoso, de que era necessário colocar os códigos para o processo de atualização terminar.
YY. Salienta-se que à data dos factos a conta de depósitos à ordem funcionava em quatro níveis de segurança, incluindo o cartão matriz (cfr. alteração requerida supra ao facto 33 provado e facto 4 não provado) e que não foi solicitada à Autora a indicação de qualquer posição no cartão matriz (facto 31 provado) como sucedia com as transferências bancárias para terceiros, pelo que esta nunca pensou que estaria a permitir a terceiros fazer transferências da sua conta para terceiros.
ZZ. Admite-se que se poderá entender que a Autora devia ter lido as mensagens, mas as mensagens provinham do banco e foram enviadas num processo de atualização da plataforma informática que se julgava verdadeiro.
AAA. Ainda assim, nas declarações de parte acima transcritas, a legal representante da Autora referiu que leu os avisos da “Atualização do modo segurança” que referia que alguns dados podiam ser solicitados e viu os códigos que recebeu SMS.
BBB. Acresce que as mensagens que recebeu também não eram mensagens de transferência / saque e não indicavam qualquer valor, como sucede habitualmente com as ordens de transferência, sendo que o texto que constava das mesmas estava em abreviaturas, ou seja, mesmo que as tivesse lido, não perceberia o conteúdo das mesmas e teria avançado com a atualização.
CCC. Na sentença recorrida, o Tribunal a quo considerou que a Autora, ao introduzir os códigos que recebeu via SMS, certificou como beneficiários frequentes os destinatários dos IBAN’s aí indicados e em consequência quaisquer transferências interbancárias subsequentes para aqueles IBAN’s são executadas / registadas sem mecanismos de autenticação.
DDD. Sucede que, em bom rigor, a Autora não deu autorização, nem ordem de transferência para terceiros, designadamente para os IBAN’s dos destinatários.
EEE. O facto da Autora, de forma involuntária, ter certificado como beneficiários frequentes terceiros que desconhecia não acarretou diretamente a realização das transferências, apenas simplificou em termos de segurança que as mesmas se realizassem.
FFF. Assim, perante os factos provados, a Autora não agiu com negligência grosseira.
GGG. Salienta-se, ainda, por outro lado, que não se sabe, nem decorre dos factos provados como a fraude ocorreu.
HHH. De qualquer modo, a Ré no âmbito das suas obrigações contratuais, deveria ter acionado os mecanismos de alerta/controlo de forma a detetar a entrada abusiva de terceiros no sistema informático, garantindo que só a Autora o pudesse fazer.
III. O caso concreto é um exemplo em que essas medidas de segurança falharam.
JJJ. O problema coloca-se no momento em que terceiros tiveram acesso à página informática, no momento em que a Autora ali entrou também, ou conseguem “copiar” ou “clonar” a página do Montepio e nestas condições, é praticamente impossível ao titular da conta perceber que não está a comunicar com a entidade bancária, e que está a ser vítima de uma fraude.
KKK. Ora, é nesse momento em que terceiros entram no sistema informático de forma esconhecida que se revela a fragilidade desse sistema, competindo à Ré reforçá-lo, de forma a impedir que tal possa ocorrer.
LLL. Como alegado supra, o risco dos danos causados pela fragilidade do sistema pertence ao banco, o qual deve garantir a confidencialidade e integridade do sistema informático de transações eletrónicas.
MMM. No caso concreto, a Ré não logrou provar o cumprimento desse dever de garantir a confidencialidade e integridade do sistema informático.
NNN. Esse dever não ficou garantido pelo facto da Ré cumprir os avisos mencionados nos factos 54 a 57 dos factos provados – sendo certo que, além de nenhuma das situações constantes dos quadros do facto 57 ser igual à dos presentes autos (a mensagem de texto não é a mesma, não tem a indicação de “Trusteer on I&M Company” e a presente diz “Atualização do modulo de segurança”), também não foi dado como provado que estes avisos existiam à data de 19/10/2020.
OOO. Foi a Ré que não cumpriu os seus deveres de garantir a confidencialidade e integridade do sistema informático e apesar de ter sido dado como provado o facto 63 que os computadores da Ré não foram alvo de qualquer quebra do sistema informático, não tendo sido o sítio institucional da Ré alvo de intrusão ou qualquer outra violação, a verdade é que a Ré não cumpriu a confidencialidade e integridade do sistema informático.
PPP. Face ao exposto, a atuação da Autora não configura, assim, uma atuação com negligência grave por parte da Autora, o que acarreta a responsabilidade da Ré no ressarcimento das quantias que foram retiradas da conta da Autora e, consequentemente, a procedência do pedido formulado nos autos.”
A Ré apresentou contra-alegações, pugnando pela improcedência da apelação.
A título subsidiário, a Ré requereu a ampliação do objecto do recurso no que respeita à matéria de facto considerada provada, nos termos do art. 636º, nº 2 do Cód. Proc. Civil, terminando com as seguintes Conclusões:
“I) A título subsidiário, a R. impugna a decisão proferida sobre pontos da matéria de facto não impugnados pela Recorrente vencida, mas que se entende não corretamente julgados – ou cujo conteúdo vertido na decisão não corresponde integralmente ao julgado –, prevenindo a remota hipótese de procedência das questões por esta suscitadas (artigo 636.º, n.º 2 do CPC).
J) Em face da prova produzida e por manifestamente assumir relevo para a decisão da causa, deve ser corrigido, completado e alterado o facto considerado provado elencado com o número 7., que deverá passar a ter a seguinte redação:
“7. A A., seguidamente a enviar a referida fotografia à sua gestora de conta, envia-lhe uma mensagem de texto a questionar se a mesma sabia responder-lhe o que era aquilo, que aparecia todas as vezes que entrava na conta e que não sabia se era vírus.” (Art. 9º da petição inicial e documento n.º 2 junto à PI)
L) Em face da prova produzida, por ter sido essa a clara e inequívoca convicção do Tribunal, conforme resulta do conteúdo da douta sentença, e por manifestamente assumir relevo para a decisão da causa, deve ser corrigido, completado e alterado o facto considerado provado elencado com o número 13., que deverá passar a ter a seguinte redação:
“13. A A. não leu todo o texto dos SMS recebidos e, de todas as três vezes que tal lhe foi solicitado, inseriu no computador os códigos que lhe foram enviados para o telemóvel, pois queria concluir a referida “atualização”, por forma a poder aceder livremente à plataforma eletrónica da R., o que se lhe encontrava vedado pela permanência da referida “atualização”.”
A Autora apresentou resposta a esta ampliação, pugnando pela respectiva improcedência.
Colhidos os vistos, cumpre decidir.
II – QUESTÕES A DECIDIR
De acordo com as disposições conjugadas dos arts. 635º, nº 4 e 639º, nº 1, ambos do Cód. Proc. Civil, é pelas conclusões da alegação do Recorrente que se delimita o objeto e o âmbito do recurso, seja quanto à pretensão do Recorrente, seja quanto às questões de facto e de direito que colocam. Esta limitação objectiva da actuação do Tribunal da Relação não ocorre em sede de qualificação jurídica dos factos ou relativamente a questões de conhecimento oficioso, desde que o processo contenha os elementos suficientes a tal conhecimento (cfr. art. 5º, nº 3 do Cód. Proc. Civil).
Nestes termos, no caso, as questões a decidir são as seguintes (ordenadas por ordem lógica de conhecimento):
- existência de lapso de escrita nos factos provados (recurso da apelante);
- a impugnação da decisão sobre matéria de facto enunciada sob os: nºs 33 e 34 dos factos provados e nºs 3 e 4 dos factos não provados (recurso da apelante); e nºs 7 e 13 dos factos provados (ampliação do recurso da apelada);
- se a Ré deve ser condenada a pagar à Autora indemnização a título de danos patrimoniais em consequência de incumprimento contratual (recurso da apelante).
III - FUNDAMENTAÇÃO DE FACTO
A sentença proferida pelo tribunal a quo considerou como provados os factos da seguinte forma:
“1. A A. apresentou queixa-crime junto dos serviços do DIAP, a qual desencadeou o processo de inquérito n.º 1035/20.2..., no âmbito do qual manifestou o propósito de deduzir pedido de indemnização civil (arts 1º e 2º da petição inicial).
2. A A. é titular, junto da R., da conta bancária com o IBAN ... (art. 4º da petição inicial).
3. No dia 19/10/2019, a A., na pessoa da sua sócia única e gerente, DD, acedeu à referida conta bancária através da Net24 Empresas, plataforma de homebanking da R., com o propósito de obter um extrato de conta para entregar na contabilidade (art. 5º da petição inicial).
4. Após selecionar a opção “Extratos Digitais”, na referida plataforma eletrónica da R., apareceu imediatamente no ecrã uma janela de “Atualização do módulo de Segurança”, cujo propósito seria proteger o computador da A. contra eventuais ataques cibernéticos, a atualização não ocorreria de modo imediato, levando “alguns minutos” para ser concluída e para “garantir a segurança” do procedimento iriam ser solicitadas informações à A. (arts. 6º e 7º da petição inicial).
5. A A., na pessoa da sua legal representante, é uma utilizadora frequente da plataforma eletrónica de homebanking da R., Net24, à qual aderiu em 2014.08.20 (Art. 8º parte inicial da petição inicial e art. 15º da contestação).
6. Em 19.10.2019, a A. tirou uma foto e enviou à sua gestora de conta, através da aplicação Whatsapp (Art. 8º parte final da petição inicial).
7. A A., seguidamente a enviar a referida fotografia à sua gestora de conta, envia-lhe uma mensagem de texto a questionar se esta teria conhecimento da referida “atualização”, já que a referida janela aparecia constantemente no ecrã do computador (Art. 9º da petição inicial).
8. A A. efetuou vários log-in (e log-off) na plataforma Net24Empresas, nunca tendo desaparecido a referida janela de “atualização”, entre os vários inícios e encerramentos de sessão na referida plataforma (Art. 10º da petição inicial).
9. A mensagem de texto foi enviada pela A. à sua gestora de conta às 13h20, tendo a destinatária respondido à referida mensagem às 14h47, referindo não saber do que se trataria a referida atualização, mas comprometendo-se a esclarecer a A. sobre essa situação assim que se inteirasse sobre a mesma (Art. 11º da petição inicial).
10. A Sra. AA, gestora de conta, aproveitou o contacto da A. para questioná-la sobre a sua disponibilidade para uma reunião, cujo escopo seria encontrar uma solução que isentasse a A. de incorrer em custos quanto à sua conta bancária, tendo ficado acertado entre a gestora de conta e a A. que a referida reunião iria ocorrer no dia seguinte, no dia 20/10/2020, pelas 11h (Art. 12º da petição inicial).
11. Durante o lapso de tempo que mediou o envio da mensagem à sua gestora de conta, pelas 13h20, e a correspondente resposta, pelas 14h47, sempre com a referida janela de “atualização” ativa, foram enviados três códigos de autorização, através de mensagem SMS, para o telemóvel da A. (Art. 13º da petição inicial).
12. Imediatamente após o envio de cada um dos códigos de autorização, apareciam novas janelas no ecrã do computador da A., sobrepostas à referida janela de “atualização”, com uma mensagem a solicitar à A. que inserisse os referidos códigos de autorização no campo para o efeito, que se encontrava nessa mesma mensagem sobreposta, para que a “atualização” pudesse ser concluída (Art. 14º da petição inicial).
13. A A., de todas as três vezes que tal lhe foi solicitado, inseriu no computador os códigos que lhe foram enviados para o telemóvel, pois queria concluir a referida “atualização”, por forma a poder aceder livremente à plataforma eletrónica da R., o que se lhe encontrava vedado pela permanência da referida “atualização” (Art. 15º da petição inicial).
14. Após a introdução dos referidos códigos e à medida que a A. ia introduzindo, o percentual da conclusão da referida “atualização” aumentava, tendo, após a introdução do terceiro código, estagnado por vários minutos nos 98% (Art. 16º da petição inicial).
15. A A., na pessoa da sua legal representante DD não estranhou as referidas solicitações para introdução dos códigos sms pois estes foram enviados pelo Banco para o número de telemóvel da A., na pessoa da sua sócia gerente, onde normalmente recebe tais códigos, bem como outras mensagens provenientes da R. (Art. 17º da petição inicial).
16. Porém, após alguns minutos nesta situação, surge no ecrã do computador da A. uma nova mensagem a solicitar que esta colocasse as sua credenciais de acesso ao Banco BPI, o que lhe causou estranheza, já que a A. estava a aceder à plataforma de homebanking da R., tendo de seguida desligado o seu computador e decidido aguardar pelo contacto da sua gestora de conta (Art. 18º da petição inicial).
17. Os factos supra relatados ocorreram entre as 13h00 e as 14h00 do dia 19.10.2020, não tendo a A., na pessoa da sua legal representante, DD, nesse dia, acedido mais à plataforma eletrónica da R. (Art. 19º da petição inicial).
18. No dia 20.10.2020, pelas 11h teve lugar uma reunião entre a gestora da conta e a legal representante da A. (Art. 20º, parte inicial da petição inicial). (Art. 20º, parte final da petição inicial).
19. A reunião prosseguiu, tendo sido abordados diversos assuntos, não só os referidos supra, no ponto 12.º, como ainda questões referentes a cancelamento de cartões, transferências entre contas, entre outros. (Art. 21º da petição inicial).
20. Na reunião do dia 20.10.2020, a A. solicitou à sua gestora de conta que mobilizasse um determinado montante da sua conta à ordem para uma conta poupança, mas a tal solicitação esta informou que essa operação não poderia ser realizada, uma vez que a referida conta à ordem apresentava um saldo disponível de cerca de € 600,00, sendo insuficiente para a realização da operação atendendo ao montante que a A. indicou como pretendendo ver mobilizado para a referida conta poupança (Arts. 22º e 23º da petição inicial).
21. Imediatamente alarmada com tal informação, a Autora, na pessoa da sua sócia única e gerente, DD, refere à sua Gestora de Conta de que tal situação não poderia ser possível, uma vez que no dia anterior o saldo disponível na conta à ordem era de um montante muito superior – cerca de € 20.000,00 (vinte mil euros), não tendo a Autora efetuado nenhuma operação que implicasse a saída de verbas da sua conta bancária. (Art. 24º da petição inicial).
22. O pharming é uma técnica de fraude que consiste na recondução automática de um utilizador, quando este acede ao sítio eletrónico (verdadeiro) de um banco, para um outro sítio eletrónico (falso), que em tudo se assemelha ao sítio eletrónico verdadeiro – nomeadamente, não só quanto ao grafismo e design do mesmo, mas ainda quanto à oferta/disponibilização dos respetivos serviços bancários – sendo que tal utilizador, ao acreditar na veracidade da página eletrónica falsa, digita as suas palavras-passe e/ou credenciais de acesso, permitindo (naturalmente, sem saber que está a fazê-lo) o acesso a tais informações pelo autor da fraude, que, simultaneamente, utiliza e insere tais informações no sítio eletrónico verdadeiro do banco, como se se tratasse do utilizador (Art. 26º da petição inicial).
23. A A. não conhece as contas bancárias para as quais foram realizadas as transferências bancárias (Art. 29º da petição inicial).
24. A A., ao aceder à plataforma de homebanking, nunca teve a intenção de realizar qualquer tipo de transferência ou, em geral, qualquer operação que implicasse a movimentação da conta, o propósito do acesso da A. à plataforma de homebanking, na pessoa da sua legal representante, DD, era tão só o de obter um extrato bancário para entrega na sua contabilidade (Art. 30º da petição inicial).
25. Aconselhada pela sua gestora de conta e com o auxílio desta, a A., na pessoa da sua legal representante DD, nesse mesmo dia 20.10.2020 e no decorrer da referida reunião, apresentou uma reclamação interna junto do Banco, relatando a factualidade supra descrita e peticionando pela devolução dos montantes que lhe foram subtraídos (Art. 31º da petição inicial).
26. Igualmente segundo indicação da sua gestora de conta, a A., na pessoa da sua legal representante DD, dirigiu-se, nesse mesmo dia, após ter abandonado as instalações do Banco, à …ª Esquadra da PSP de … para apresentar a competente queixa-crime, a qual, conforme referido supra, deu origem aos autos de inquérito n.º 1035/20.2..., que, atualmente, ainda se encontra a decorrer sob segredo de justiça (Art. 32º da petição inicial).
27. A A., na pessoa da sua legal representante, DD, em 03.12.2020, endereçou à R. uma carta cujo teor corresponde ao que consta do documento 5 junto da petição inicial (Art. 33º, parte final da petição inicial).
28. A R. apenas respondeu à A., reportando-se a ambas as comunicações referidas nos pontos anteriores, no dia 04.02.2021, através do envio postal de uma missiva, nos termos da qual refere, em suma, (i) que o Banco dispõe de todos os mecanismos de segurança conforme as normas internacionais na matéria, (ii) que a autenticação na plataforma de homebanking se deu através da autenticação do utilizador com password pessoal e 2 SMS Code, (iii) que o Banco divulga, no seu sítio eletrónico, diversos alertas de segurança, com exemplos de tentativas de fraude através de “diversos métodos de captação maliciosa de credenciais e SMS Code perpetuada por piratas informáticos” e (iv) que o Banco se encontra disponível para prestar todas as informações que lhe forem solicitadas em sede criminal, lamentando o sucedido (Art. 34º da petição inicial).
29. A R. não aceitou efetuar qualquer pagamento à A., na sequência da carta que esta lhe endereçou em 03.12.2020 (Art. 35º da petição inicial).
30. Em momento algum foi solicitado à A. a indicação de qualquer posição do cartão matriz (Art. 38º da petição inicial).
31. A. R. é uma caixa económica cuja atividade se caracteriza pela prática de todos os atos permitidos, por lei, aos bancos, atuando sob a designação comercial de “Banco Montepio” (art. 13º da contestação).
32. Em resultado da adesão pela A. à plataforma eletrónica de homebanking da R., Net24, foram atribuídos à A., pela R., códigos de acesso/credenciais de utilização do referido serviço de homebanking, elementos que são secretos, pessoais e intransmissíveis (art. 16º da contestação).
33. À data dos factos e por referência ao contrato celebrado com a A. relativamente à conta de depósitos à ordem de que a A. é titular, funcionava em 3 níveis de segurança, designadamente:
a) Número de utilizador;
b) Password, composta por seis dígitos, que constitui um código PIN multicanal;
c) SMS CODE, que consiste em associar o número de telemóvel do cliente ao homebanking por forma a que, no momento da realização de uma operação de que resultem alterações patrimoniais, o sistema envia um código via SMS para o seu telemóvel (art. 17º, parte inicial da contestação).
34. A A. não contactou o balcão, a sua gestora de conta ou o serviço Phone 24 (art. 19º da contestação).
35. Os balcões são áreas de atendimento presencial (canal prioritário) e também telefónico de clientes (art. 21º da contestação).
36. A aplicação Whatsapp não é um meio de contacto institucional, profissional, formal e negocial prioritário (art. 22º da contestação).
37. A gestora de conta da A., no dia 19.10.2020 às 15h47, solicitou esclarecimentos internamente sobre o quadro enviado pela cliente, aqui A. (art. 25º da contestação).
38. A legal representante da A. é empresária e gere restaurantes, utilizando o serviço Net24 desde 2014/08/20, conhecendo a plataforma e os procedimentos habituais para concretizar operações (arts. 35º e 36º da contestação).
39. Na reunião do dia 20.10.2020, a gestora da conta aconselhou a legal representante da A. a apresentar denúncia na PSP para que a R. pudesse abrir um processo de fraude, o que a cliente fez, tendo regressado ao balcão ainda naquele dia 20.10.2020 para abrir o processo interno, apresentando reclamação instruída com cópia do auto de denúncia e pedido de estorno dos valores transferidos (arts. 46º e 47º da contestação).
40. Na denúncia que apresentou junto da P.S.P (..., que deu origem ao procedimento criminal pendente, a legal representante da A. relatou que “no dia de ontem, recebeu várias mensagens no número de três (3) do banco a pedir atualização supostamente dos seus dados, que se anexa. E, sempre que aparecia a MSN era efetuado um movimento.
Após a receção das ditas mensagens, a lesada acedeu ao site do banco, na tentativa de perceber o que se estava a passar, tendo aberto uma janela em que não permitiu à lesada inserir o código canal de acesso, lendo-se que estava em atualizações. (…)” (art. 48º da contestação).
41. Na mesma data, a legal representante da A., Sra. D. DD, entregou na R. uma carta por si manuscrita, onde pode ler-se:
“(…) entrei no net24 do montepio para imprimir o extrato bancário p/ contabilidade referente ao mês 09/2020, de repente apareceu uma atualização no banco Montepio que bloqueou o meu acesso como segue em anexo no processo, não consegui fechar entrei em contato c/minha gestora e enviei foto do mesmo e ela disse que ia verificar (…) começou a atualização e começou a enviar p/ o meu telemóvel ordens habituais do homebanking como é feito em todas as transações que faço. Chegava código do Montepio para atualizar como vêm em anexo (…)” (art. 49º da contestação).
42. Em 20.10.2020, o gerente do balcão da R., no ..., sr. CC, remeteu internamente à R. DMO – Núcleo de Gestão Operacional e Fraude – um email informando que a cliente, na pessoa da sua sócia-gerente, Sra. D. DD, não reconhecia os movimentos realizados na conta bancária de que é titular (art. 50º da contestação).
43. Dando origem a procedimentos de averiguações, em decorrência dos quais foi possível verificar e confirmar a seguinte sequência cronológica de factos:
1. Às 13:35 foi registada a Primeira Certificação de Beneficiário Frequente, para o IBAN: ... (Banco BPI), via homebanking, através das Credenciais de acesso da única sócia e gerente da A., Sra. D. DD, através de Autenticação Forte;
2. Às 13:38 foi registada a Segunda Certificação de Beneficiário Frequente, para o IBAN: ... (Novo Banco), via homebanking, através das Credenciais de acesso da única sócia e gerente da A., Sra. D. DD, através de Autenticação Forte
3. A A., na pessoa da sua gerente, fez a introdução do total de 2 SMS Code, dirigidos para o telemóvel registado e certificado na base de dados da R., para efeitos de movimentos homebanking (1 SMS Code por cada Certificação);
4. Naquelas mensagens de SMS para Certificação de Beneficiário Frequente, enviadas para o identificado número “...”, continham em cada uma, o seguinte texto: “Montepio-Valide Certif.Ben.Freq.no Net24 em: Dia – Hora- Tipo Transf. Interbancária; IBAN: n.º de iban XXXX com o código: xxx SMSCode” (art. 51º da contestação).
44. Tendo sido certificado corretamente cada IBAN para efeitos de validação de Beneficiário Frequente, quaisquer transferências interbancárias subsequentes para aqueles IBAN’s, são executadas/registadas sem mecanismos de Autenticação (art. 52º da contestação).
45. Foram registados os seguintes movimentos, via homebanking, na conta à ordem n.º …4-2, titulada pela A., onde está registada como única Sócia-Gerente:
▪ 1 (um) Cash-Advance, a débito no Cartão de Crédito n.º ..., com a descrição “Lev. Numerário a Crédito”, no total de 1.670,46€ (valor de 1.600,00€, acrescido de Comissão Cash no valor de 67,75€, e Imposto do Selo TGIS no valor de 2,71€), registados em 2020-10-19;
▪ 3 (três) Transferências Interbancárias imediatas para o IBAN n.º ... 23, com a descrição “...”, no total de 8.000,00€ (a primeira no valor de 3.000,00€, a segunda no valor de 1.500,00€, e a última no valor de 3.500,00€), registadas em 2020-10-19;
▪ 3 (três) Transferências Interbancárias imediatas para o IBAN n.º ....07, com a descrição “...”, no total de 9.590,00€ (a primeira no valor de 1.490,00€, a segunda no valor de 4.100,00€, e a última no valor de 4.000,00€), registadas em 2020-10-19 (art. 54º da contestação e 28º da petição inicial).
46. A transação de Cash Advance, a débito no cartão de crédito, foi creditada a conta à ordem, para dali serem subsequentemente efetuadas as referidas transferências interbancárias (art. 55º da contestação).
47. Para que os movimentos reclamados pela A. pudessem ser efetuados através do Serviço Montepio Net24, foram, conforme referido, previamente certificados 2 (dois) Beneficiários Frequentes:
1. IBAN..., pertencente ao Novo Banco;
2. IBAN ..., pertencente ao Banco BPI (art. 58º da contestação).
48. Para a certificação daqueles dois Beneficiários Frequentes, foram introduzidas, as Credenciais de Acesso ao homebanking, aplicando a Autenticação Forte, respeitantes à Cliente Sra. D. DD, pela seguinte ordem:
a) Identificação do Utilizador;
b) Password pessoal e intransmissível (Elemento de Conhecimento);
c) 02 SMS Code, no telemóvel com o número “...” (Elemento de Posse) (arts. 59º e 80º da contestação).
49. Os 2 SMS Code, essenciais à materialização das transferências não reconhecidas pela A., foram dirigidos para o número de telefone número “...”, telemóvel registado e certificado na Base de Dados do Banco Montepio para operações no âmbito do homebanking (art. 60º da contestação).
50. Tentando ainda reverter a situação, a R. diligenciou de imediato no sentido de obter, junto das instituições bancárias creditadas [através das transferências ordenadas com a inserção dos códigos pela A.], o estorno das transferências, o que não foi possível porque os valores já não se encontravam disponíveis nas referidas contas onde foram creditados (arts. 66º e 67º da contestação).
51. O Pharming explora a base de funcionamento da navegação na Internet, ou seja, a conversão da sequência de letras que forma um endereço da Internet, num endereço IP, por um servidor DNS para que ocorra essa ligação, e ataca esse processo de duas maneiras possíveis:
• um hacker pode instalar no computador do titular do serviço de internet, um vírus ou cavalo de Tróia que altera o arquivo host do computador para desviar o tráfego de seu destino para um site falso.
• o hacker pode "envenenar" um servidor DNS (Domain Name System), fazendo com que vários titulares do serviço de internet, façam o acesso ao site falso sem querer. Os sites falsos podem ser usados para instalar vírus ou cavalos de Tróia no computador daqueles titulares, ou podem tentar colher informações pessoais e financeiras para roubar identidades (art. 70º da contestação).
52. A proteção contra este tipo de fraude começa com a instalação de uma boa solução antimalware e antivírus, evitar sites suspeitos, não clicar em links de mensagens de e-mail suspeitas (art. 71º da contestação).
53. Prevê o Ponto 23.20 por remissão do ponto 23.17, do clausulado do Contrato de Abertura de Conta de Depósito e de Comercialização de Produtos e Serviços *Pessoas Coletivas*, cuja totalidade das Condições Gerais o Titular declarou ter tomado conhecimento em 2014-08-20 (Versão de 2014-07-07, aplicável à conta à ordem n.º …4-2) da “responsabilidade do Cliente ou Representante por todas as operações irregulares efetuadas utilizando as Credenciais de Autenticação, ou através da utilização abusiva das mesmas, motivadas por perda, extravio, furto, roubo, falsificação ou outros meios de apropriação ilegítima (…)” (art. 72º da contestação).
54. O Banco Montepio divulga no seu site, Alertas de Segurança constantes, contendo exemplos de tentativas de fraude sobre os diferentes métodos de captação maliciosa de credenciais, e SMS Codes perpetrada por piratas informáticos (art. 73º da contestação).
55. Sempre que se efetua um acesso ao sítio da R., na mesma página onde insere o código PIN, encontra-se destacada e em formato de fácil leitura e apreensão, informação diversa e bastante explícita sobre medidas de segurança por aquela adotadas, e medidas de segurança/precauções que deverão ser tomadas pelos utilizadores, contendo inúmeros alertas de segurança com exemplos de tentativas de fraude sobre os diferentes métodos de captação maliciosa de credenciais, perpetrada por piratas informáticos (art. 74º da contestação).
56. É comum a todos os alertas:
“Sempre que aceder a websites bancários, verifique se o endereço se inicia por https:// e que, no final do endereço ou barra inferior da janela, se encontra um cadeado”;
“Verifique sempre a barra de endereços e certifique-se que está em ambiente seguro HTTPS, com certificado “Caixa Económica Montepio Geral [PT]” e no domínio Montepio.pt” (art. 75º da contestação).
57. No caso em concreto, um dos Alertas prevê especificamente o seguinte:

Os sistemas do Banco Montepio são revestidos de infraestruturas de segurança, ao nível do software e do hardware, e da aplicação de políticas e procedimentos, de acordo com os mais rigorosos standards internacionais nesta matéria (art. 78º da contestação).
58. Para que os movimentos reclamados tivessem sido efetuados através do Serviço Montepio Net24, foram certificados pela A. dois Beneficiários Frequentes, que a A. alega não conhecer (art. 79º da contestação).
59. As instruções validadas com os referidos elementos de segurança vinculam a R., nos termos contratuais, à execução das transações, sob pena de incumprimento perante o cliente e de incorrer em responsabilidade contraordenacional junto do Banco de Portugal (art. 81º da contestação).
60. Os acessos à conta bancária titulada pela A. foram realizados mediante a correta validação das credenciais entregues à A. e que àquela incumbiria guardar (art. 82º da contestação).
61. O Serviço Net24 é controlado pelo Banco Montepio, aqui R., no que respeita aos acessos feitos com as legítimas credenciais dos clientes (art. 87º da contestação).
62. Os movimentos em causa nos presentes autos, foram efetuados através do Serviço Net24, ao abrigo das normas de segurança estabelecidas e validados com todos os dados reservados ao cliente (art. 88º da contestação).
63. Os computadores da R. não foram alvo de qualquer quebra de segurança informática, não tendo o sítio institucional do Montepio sido alvo de intrusão, ou qualquer outra violação (art. 89º da contestação).”
*
O tribunal a quo considerou não provado que:
“1. A A., nunca antes de 19.10.2019, tinha sido confrontada com uma situação semelhante (art. 8º, parte inicial da petição inicial).
2. Perante tal informação, a gestora da conta prontamente acedeu à conta da A., tendo de imediato proferido a seguinte expressão “Foste roubada!”, “Foste vítima de pharming”, causando ainda maior surpresa e aflição na sócia única e gerente da A. (art. 25º da petição inicial).
3. A A. nunca desconfiou de que a introdução dos respetivos códigos de autorização, que lhe foram enviados através de SMS iria desencadear a realização de qualquer tipo de transferência, muito menos das transferências que foram efetuadas (art. 39º, parte final da petição inicial).
4. Por referência ao contrato celebrado com a A., relativamente à conta de depósitos à ordem de que a A. era titular, um dos níveis de segurança na utilização do serviço de homebanking, era o cartão matriz (art. 17º, parte final da contestação).”
IV - FUNDAMENTAÇÃO DE DIREITO
Da existência de lapso de escrita nos factos provados
Aponta a apelante a existência de lapso de escrita na data aposta nos factos provados sob os nºs 3 - certamente se quis referir a este número e não ao nº 2, face ao respectivo teor - e 6, devendo aí constar “19/10/2020” e não “19/10/2019” como consta.
E, tem razão, uma vez que, resulta dos factos provados sob os nºs 17 e 18 [em consonância, aliás, com todos os elementos probatórios produzidos nos autos] que o ali narrado se situou em 19/10/2020.
Tem sido entendido pela jurisprudência que o princípio geral constante do art. 249º do Cód. Civil [“O simples erro de cálculo ou de escrita, revelado no próprio contexto da declaração ou através das circunstâncias em que a declaração é feita, apenas dá direito à rectificação desta”] é aplicável a todos os actos processuais e das partes. Neste sentido, vide, com amplas referências doutrinais e jurisprudenciais, o Acórdão do TRL de 15/01/2013, relator Rui Vouga, acessível em www.dgsi.pt.
Donde, é possível operar a rectificação de um lapso manifesto em acto processual, nomeadamente sentença, quando decorre do seu contexto e fundamentação que há uma errada expressão do que se queria dizer.
É este o caso dos autos.
Assim, nos factos provados sob os nºs 3 e 6, onde se lê “19/10/2019”, deverá ler-se: “19/10/2020”.
*
Da impugnação da matéria de facto
Do recurso da apelante
A apelante impugna a decisão do tribunal recorrido sobre a factualidade provada e não provada. Tendo dado suficiente cumprimento ao disposto no art. 640º do Cód. Proc. Civil, cumpre decidir.
Nos termos do disposto no art. 662º, nº 1 do Cód. Proc. Civil: “A Relação deve alterar a decisão proferida sobre a matéria de facto, se os factos tidos como assentes, a prova produzida ou um documento superveniente impuserem decisão diversa”.
Tem sido entendimento pacífico da Doutrina e Jurisprudência que, ao abrigo do disposto no art. 662º do Cód. Proc. Civil, a Relação goza dos mesmos poderes de apreciação da prova do que a 1ª instância, por forma a garantir um segundo grau de jurisdição em matéria de facto. Por isto, a Relação deve apreciar a prova e sindicar a formação da convicção do juiz, analisando o processo lógico da decisão e recorrendo às regras de experiência comum e demais princípios da livre apreciação da prova, reexaminando as provas indicadas pelo recorrente, pelo recorrido, na fundamentação da decisão sobre a matéria de facto e/ou aquelas que se mostrem acessíveis, por constarem do processo, independentemente da sua proveniência (cfr. art. 413º do Cód. Proc. Civil). O que significa que a Relação procede a uma apreciação autónoma da prova impugnada, competindo-lhe formar e formular a sua própria/autónoma convicção (que poderá coincidir, ou não, com a formada em primeira instância), assim se assegurando o duplo grau de jurisdição relativamente à matéria de facto. Acresce que, pese embora recaía sobre o recorrente o ónus de indicar os concretos pontos da matéria de facto que entende deverem ser alterados e o sentido de tal alteração, desde que se mostrem cumpridos os requisitos formais que constam do art. 640º do Cód. Proc. Civil, a Relação não está vinculada a optar entre alterar a decisão no sentido defendido pelo recorrente ou manter a mesma tal como se encontra, dispondo de inteira liberdade para apreciar a prova, balizada pelos mesmos princípios e limites a que a 1ª instância se acha vinculada (com excepção dos aspectos intrínsecos à imediação e à oralidade). Desta forma, poderá o Tribunal da Relação confirmar a decisão, decidir em sentido contrário ou, mesmo, alterar a decisão no sentido restritivo ou explicativo - cfr., neste sentido, nomeadamente, António Santos Abrantes Geraldes, in “Recursos no Novo Código de Processo Civil”, 5ª ed., 2018, Almedina, p. 283 e ss.
Como é sabido, no nosso sistema processual, com excepção das situações da chamada prova legal, isto é, das situações em que para a prova de um determinado facto a lei exige um específico meio de prova ou impede que o mesmo possa ser provado mediante certos meios de prova – que o legislador presume serem mais falíveis e inseguros –, vigora o sistema da liberdade de julgamento ou da prova livre (cfr. nº 5 do art. 607º do Cód. Proc. Civil). Neste sistema, o tribunal aprecia livremente os meios de prova, atribuindo, pois, a cada um o valor probatório que julgue conforme a uma apreciação crítica do mesmo (à luz das regras da experiência, da lógica e da ciência), não estando esse valor probatório prévia e legalmente fixado. Como refere Miguel Teixeira de Sousa, in “As partes, o Objecto e a Prova na Acção Declarativa”, Lex-Edições Jurídicas, 1995, p. 238: “o valor a conceder à prova realizada através dos meios de prova não está legalmente prefixado, antes depende da convicção que o julgador formar sobre a actividade probatória.”. No mesmo sentido, cfr., ainda, A. Varela, M. Bezerra, Sampaio e Nora, in “Manual de Processo Civil”, 2ª ed., p. 660-661; e J. Lebre de Freitas, A. Montalvão, R. Pinto, in “CPC anotado”, II volume, p. 635-636.
Especificamente no que respeita à força probatória dos depoimentos das testemunhas, dispõe o art. 396º do Cód. Civil, na esteira do art. 607º, nº 5 do Cód. Proc. Civil, que a mesma se encontra sujeita à livre apreciação do julgador, o qual deverá avaliá-la em conformidade com as impressões recolhidas da sua audição ou leitura e com a convicção que delas resultou no seu espírito, de acordo com as regras de experiência. Esta livre convicção do julgador não significa arbítrio ou decisão irracional, antes pelo contrário, exige-se uma apreciação crítica e racional das provas, fundada nas regras da experiência, da lógica e da ciência, bem como na percepção da personalidade dos depoentes, para que a mencionada convicção resulte perceptível e objectivável. Toda a valoração da prova, nomeadamente a testemunhal, deve ser efectuada segundo um critério de probabilidade lógica, através da confirmação lógica da factualidade em apreciação a partir da análise e ponderação da prova disponibilizada – cfr. Antunes Varela, Miguel Bezerra e Sampaio e Nora, in “Manual de Processo Civil”, Coimbra Editora, p. 435/436.
Relativamente à força probatória das declarações de parte, dispõe o art. 466º, nº 3 do Cód. Proc. Civil: “O tribunal aprecia livremente as declarações das partes, salvo se as mesmas constituírem confissão”.
Tem vindo a ser amplamente discutido na doutrina e na jurisprudência o modo como esta apreciação deve ser efectuada, podendo dizer-se, tal como no Acórdão do TRL de .../.../2017, relator Luís Filipe Pires de Sousa, acessível em www.dgsi.pt, que as várias posições relativas à função e valoração das declarações de parte são reconduzíveis a três teses essenciais: (i) a tese do carácter supletivo e vinculado à esfera restrita de conhecimento dos factos; (ii) a tese do princípio de prova; (iii) a tese da auto-suficiência ou valor probatório autónomo das declarações de parte.
Perfilhando nós – como perfilhamos - esta terceira tese (iii), no seguimento de Luís Filipe Pires de Sousa, in “As Declarações de Parte. Uma síntese”, acessível em www.trl.mj.pt, 2017; e de Abrantes Geraldes, Paulo Pimenta e Luís Filipe Pires de Sousa, in “Código de Processo Civil Anotado Parte Geral e Processo de Declaração”, Vol. I, Almedina, 2019, Reimpressão, p. 529 e ss, entendemos, na esteira destes autores, que as declarações de parte estão ao mesmo nível que os demais meios de prova, sendo valoradas de forma autónoma e integrada, sem que se estabeleça qualquer hierarquia entre os vários elementos probatórios. A credibilidade das declarações de parte tem de ser aferida em concreto e não em observância de máximas abstractas pré-constituídas, sob pena de se esvaziar a utilidade e potencialidade deste meio de prova.
Como se refere no citado Acórdão do TRL de .../.../2017: “os critérios de valoração das declarações de parte coincidem essencialmente com os parâmetros de valoração da prova testemunhal, havendo apenas que hierarquizá-los diversamente. Em última instância, nada obsta a que as declarações de parte constituam o único arrimo para dar certo facto como provado desde que as mesmas logrem alcançar o standard de prova exigível para o concreto litígio em apreciação.”.
É em sede de fundamentação da matéria de facto, que as declarações de parte devem ser valoradas, ponderando-se o seu conjunto com os demais elementos de prova, sem prejuízo da eventual confissão que ocorra.
É à luz destas considerações que iremos apreciar a impugnação da matéria de facto.
Pretende a apelante a alteração dos factos provados sob o nº 33 [“À data dos factos e por referência ao contrato celebrado com a A. relativamente à conta de depósitos à ordem de que a A. é titular, funcionava em 3 níveis de segurança, designadamente: a) Número de utilizador; b) Password, composta por seis dígitos, que constitui um código PIN multicanal; c) SMS CODE, que consiste em associar o número de telemóvel do cliente ao homebanking por forma a que, no momento da realização de uma operação de que resultem alterações patrimoniais, o sistema envia um código via SMS para o seu telemóvel”] e dos factos não provados sob o nº 4 [Por referência ao contrato celebrado com a A., relativamente à conta de depósitos à ordem de que a A. era titular, um dos níveis de segurança na utilização do serviço de homebanking, era o cartão matriz”], sustentando que:
- os factos provados sob o nº 33 deverão ter a seguinte redacção:
“À data dos factos e por referência ao contrato celebrado com a A. relativamente à conta de depósitos à ordem de que a A. é titular, funcionava em 4 níveis de segurança, designadamente:
a) Número de utilizador;
b) Password, composta por seis dígitos, que constitui um código PIN multicanal;
c) Cartão Matriz;
d) SMS CODE, que consiste em associar o número de telemóvel do cliente ao homebanking por forma a que, no momento da realização de uma operação de que resultem alterações patrimoniais, o sistema envia um código via SMS para o seu telemóvel.”;
- o facto não provado sob o nº 4 deve “ser eliminado por ser semelhante ao facto 33 com a formulação” peticionada “ou, caso assim não se entenda, seja o mesmo considerado como provado.”.
Alicerça-se, para o efeito, nos trechos das declarações de parte da legal representante da Autora e do depoimento da testemunha BB, que transcreve a p. 4-5 e 6 das alegações.
A apelada discorda desta alteração.
O tribunal a quo, alicerçou a sua convicção, a propósito desta matéria, da seguinte forma:
“(…) foi considerado o depoimento da testemunha comum, BB, funcionário do Banco desde 2009 e desempenhando funções como analista de fraudes em meios de pagamento desde 2013. Esta testemunha esclareceu que os procedimentos da A., enquanto cliente, para aceder ao serviço de homebanking do Banco (ao qual aderiu em 2014) e que para aceder ao extrato da conta bancária não é necessário introduzir qualquer sms para confirmar essa ação. Por outro lado, referiu que fez a análise de todo o processo e que existem vários alertas de fraude nas dicas de segurança, incluindo o alerta para a situação que aconteceu com a A. e que desde 2019 que deixaram de ser utilizadas as coordenada do cartão matriz e a certificação passou a ser efetuada através de sms code.. (…) Esta, ao receber os sms no seu telemóvel deveria ter estranhado, não só porque não é necessário qualquer código para aceder ao extrato bancário, como o teor da mensagem recebida não correspondia à ação que estava a visualizar no computador. Na verdade, nos sms era dada indicação que o código a introduzir era para a certificação de beneficiários frequentes, com indicação de IBAN que a própria A. diz desconhecer, e não para a confirmação de qualquer atualização. E ao ter introduzir esse códigos e ao certificar esses beneficiários frequentes estava a autorizar que as transferências para esses IBAN’s fossem efetuadas, sem que o Banco pudesse recusar pois os códigos de acesso à conta estavam corretos e foram fornecidos pela A., os quais são pessoais e intransmissíveis, tal como os códigos inseridos e que correspondiam aos códigos que o banco enviou para o telemóvel da cliente e cujo número correspondia ao que se encontrava no sistema. A testemunha disse ainda que a A. devia ter lido os sms, não devendo ter certificado qualquer IBAN que desconhecia.
(…)
No que respeita à matéria de facto dada como não provada, atendeu-se às regras do ónus da prova, não tendo sido apresentada prova nesse sentido.
Saliente-se que (…) quanto ao Facto Não Provado 4., a testemunha BB também afirmou que o cartão matriz deixou de ser utilizado na utilização do serviço de homebanking, tendo sido substituído por sms code.”
Apreciemos.
Nos trechos das declarações de parte convocadas nesta sede pela apelante, a legal representante da Autora refere a existência de um cartão “coordenada”, um cartão “chave” (trechos transcritos a p. 4 das alegações), mais referindo que, para “efectuar uma transferência ou um pagamento”, eram utilizados simultaneamente para autenticação o SMS Code e aquele cartão “coordenada” ou “chave” [cfr. seguintes trechos transcritos na parte final de p. 4 e p. 5 das alegações: “era a mensagem que vinha ao telemóvel e depois tinha um cartão coordenadas a seguir”; “Era o número que quando eu fazia transações, vinha diretamente aquele número Montepio, mesmo do banco. Supostamente, não é? Quando vem, quando se fazia uma transferência vem sempre para ali os códigos e depois a seguir o cartão das coordenadas que aparece no computador.”; “Eu recebia os dois, recebia o para pôr o código quando vou fazer uma transferência, aparece o valor e a seguir o no computador no banco, pede umas coordenadas do cartão matriz”].
Estas declarações da legal representante da Autora, na parte em que refere a utilização do cartão matriz (cartão “coordenada” ou “chave”, na sua terminologia) na data dos factos, são confirmadas pelos textos dos dois “Alertas de segurança”, que surgiam quando era efectuado um acesso ao sítio da Ré, aludidos nos factos provados sob o nº 57 [cuja veracidade não foi posta em crise neste recurso], onde constam, de forma clarividente, menções à existência de tal cartão e do SMS CODE (cfr., respectivamente, 1º parágrafo do primeiro “Alerta de Segurança” e parte final do segundo “Alerta de Segurança” a que aludem aqueles factos provados) – sublinhados nossos:
. “Exemplo em anexo, consiste na apresentação de uma janela de popup fraudulenta (“Módulo de Segurança”) que visa induzir o Cliente a fornecer subsequentemente determinadas credenciais de segurança (ex. coordenadas do Cartão Matriz, SMS Code) para viabilizar a realização de operações bancárias fraudulentas.”
. “Envio de SMS (…), no qual é solicitado (…) o upload da imagem do Cartão Matriz.
(…) O Banco Montepio:
- (…)
- Nunca solicita mais que 2 posições do seu Cartão Matriz e que o Cartão Matriz apenas é solicitado para validar operações que alterem o património financeiro do Cliente.
(…)”
Pelo contrário, as declarações da legal representante da Autora, na parte em que refere a utilização cumulativa (e não alternativa) dos dois sistemas de segurança (cartão matriz e SMS CODE) para autenticar cada operação bancária, são contrariadas pelo depoimento da testemunha comum, BB, que, ao longo do seu depoimento, não só afirma que o uso do cartão matriz para autenticação do utilizador foi sendo descontinuado e substituído, para esse efeito, pelo SMS Code [afirmando que entre 2014 e 2020 “algumas coisas foram alteradas nomeadamente algumas autenticações”: trecho aos minutos 16.20 e ss da gravação Citius do respectivo depoimento], como esclarece que o cartão matriz e o SMS CODE não eram utilizados cumulativamente para autenticar uma mesma operação, mas de forma alternativa, ou seja, em cada operação, era utilizado o cartão matriz ou o SMS CODE (trechos transcritos a p. 6 das alegações).
Estas declarações da testemunha quanto ao uso alternativo (e não cumulativo) do cartão matriz e do SMS CODE como nível de segurança para validar cada operação, logram convencer o tribunal da respectiva veracidade, em detrimento das declarações de parte da legal representante da Autora, atendendo à razão de ciência da testemunha [funcionário da Ré desde 2009, aí desempenhando funções como analista de fraudes em meios de pagamento desde 2013, revelando conhecimento profundo dos modos de segurança e autenticação usados pela Ré ao longo dos anos] e ao modo credível, isento e objectivo com que prestou depoimento.
Assim, urge alterar os factos provados sob o nº 33, não no estrito sentido pretendido pela apelante, mas, de acordo com a concreta prova produzida, ou seja, à data dos factos, o cartão matriz funcionava como 3º nível de segurança, em alternativa ao SMS CODE (de igual forma utilizado como 3º nível de segurança), pelo que, a redacção daqueles factos passará a ser:
“À data dos factos e por referência ao contrato celebrado com a A. relativamente à conta de depósitos à ordem de que a A. é titular, funcionava em 3 níveis de segurança, designadamente:
a) Número de utilizador;
b) Password, composta por seis dígitos, que constitui um código PIN multicanal;
c) Cartão Matriz ou SMS CODE, que consiste em associar o número de telemóvel do cliente ao homebanking por forma a que, no momento da realização de uma operação de que resultem alterações patrimoniais, o sistema envia um código via SMS para o seu telemóvel.”;
Na decorrência do que se deixou dito e da alteração dos factos provados sob o nº 33, o facto não provado sob o nº 4 será eliminado.
Donde, a procedência parcial da pretensão da apelante ora em análise.
*
Defende a apelante a alteração dos factos provados sob o nº 34 [“A A. não contactou o balcão, a sua gestora de conta ou o serviço Phone 24”], para: “A A. não contactou o balcão ou o serviço Phone 24”. Sustenta, para o efeito, que: aqueles factos estão em contradição com os factos provados sob os nºs 6, 7 e 9 a 11 e a prova da existência de um contacto para a sua gestora de conta resulta do documento nº 2 junto com a petição inicial, bem como, dos trechos das declarações de parte da legal representante da Autora e do depoimento testemunha AA, que transcreve a p. 8 e 9 das alegações.
E, tem razão: dos factos provados sob os nºs 6, 7 e 9 a 11 resulta que a Autora enviou à sua gestora de conta uma mensagem, através da aplicação whatsapp, solicitando uma explicação sobre o que estava a acontecer – factualidade esta, que não foi objecto de impugnação neste recurso e que está em consonância com toda a prova produzida a esse respeito [documento nº 2 junto com a petição inicial; declarações de parte da legal representante da Autora; depoimento da testemunha AA, gestora de conta da Autora]. Aliás, a própria apelada reconhece a existência daquele contacto da Autora com a gestora de conta e a alteração destes factos nessa conformidade.
Assim, procede esta pretensão da apelante, passando os factos provados sob o nº 34 a ter a seguinte redacção: “A A. não contactou o balcão ou o serviço Phone 24”.
*
Entende a apelante que os factos não provados sob o nº 3 [“A A. nunca desconfiou de que a introdução dos respetivos códigos de autorização, que lhe foram enviados através de SMS iria desencadear a realização de qualquer tipo de transferência, muito menos das transferências que foram efetuadas”] devem ser alterados para provados.
Alicerça a sua convicção: (i) na contradição existente entre aqueles factos e os factos provados sob o nº 15 [“A A., na pessoa da sua legal representante (…) não estranhou as referidas solicitações para introdução dos códigos sms pois estes foram enviados pelo Banco para o número de telemóvel da A., na pessoa da sua sócia gerente, onde normalmente recebe tais códigos, bem como outras mensagens provenientes da R.”]; (ii) nas declarações de parte da legal representante da Autora (que transcreve a p. 11 a 14 das alegações), considerando, inclusive, que, “sendo um facto pessoal da Autora, apenas era possível ser provado através das declarações de parte” e não por testemunhas.
A apelada discorda de tal alteração.
O tribunal a quo, alicerçou a sua convicção a propósito dos factos em referência nos seguintes termos:
“No que respeita à matéria de facto dada como não provada, atendeu-se às regras do ónus da prova, não tendo sido apresentada prova nesse sentido.
Saliente-se que relativamente ao Facto Não Provado 2. (…) e ao Facto Não Provado 4. (…).
Sobre a demais matéria, as declarações de parte desacompanhadas de outros meios de prova, revelou-se insuficiente para a prova desses factos.”
Esta pretensão da apelante não pode proceder.
Note-se, desde logo, que não existe contradição entre os factos não provados em referência e os factos provados sob o nº 15, porquanto a circunstância de estar provado que a Autora não estranhou as solicitações para introdução dos códigos SMS por estes terem sido enviados pelo Banco para o número de telemóvel onde normalmente recebe tais códigos, não significa, por si só, nem constitui antecedente lógico necessário da afirmação de que a Autora nunca desconfiou de que a introdução dos códigos de autorização, que lhe foram enviados através de SMS iria desencadear a realização de qualquer tipo de transferência, muito menos das transferências que foram efetuadas.
Analisando, conjugada, objectiva e criticamente - segundo as regras da lógica e da experiência comum - as declarações de parte da legal representante da Autora à factualidade em causa, e aplicando as normas referentes ao valor probatório daquela prova (cfr. o que acima deixámos dito sobre esta matéria) e ao princípio a observar em casos de dúvida sobre a realidade de um facto (cfr. art. 414º do Cód. Proc. Civil), não vemos como não acolher a decisão do tribunal a quo quanto aos factos não provados sob o nº 3.
Afigura-se-nos, desde logo, que as declarações de parte prestadas pela legal representante da Autora foram manifestamente frágeis para dar como provada a factualidade em questão principalmente pela falta de precisão e de convicção que demonstrou a este respeito.
Acresce que, a versão do relatado pela Autora quanto àqueles factos não foi corroborada ou acompanhada por qualquer outro meio probatório que alicerçasse a convicção do tribunal. Note-se que, ao contrário do que parece entender a apelante, os factos pessoais (como são os ora em análise) podem ser provados por diversos meios de prova e não apenas por declarações de parte; não se podendo, ainda, aqui deixar de vincar que a inviabilidade da prova dos factos por outros meios probatórios não constituiria de per si fundamento para atribuir um diferente valor probatório às declarações de parte prestadas.
Pelo exposto, compreende-se que as declarações de parte da legal representante da Autora não tenham logrado convencer, quer o tribunal a quo, quer este tribunal, da veracidade dos factos descritos sob o nº 3 dos factos não provados.
Não podemos, ainda, perder de vista que, se mantêm em vigor os princípios da imediação, da oralidade, da concentração e da livre apreciação da prova, sabendo-se que o julgamento humano se guia por padrões de probabilidade e não de certeza absoluta, de tal modo que a Relação só deve lançar mão dos poderes de alteração da decisão da 1ª instância sobre a matéria de facto quando seja possível, com a necessária segurança, concluir pela existência de erro de apreciação relativamente a concretos pontos de facto impugnados – cfr. Acórdãos do TRG de 10/01/2019, relatora Maria João Matos; e de 21/11/2019, relator Jorge Teixeira, ambos acessíveis em www.dgsi.pt.
“Por outras palavras, a alteração da matéria de facto só deve ser efectuada pelo Tribunal da Relação quando o mesmo, depois de proceder à audição efectiva da prova gravada, conclua, com a necessária segurança, no sentido de que os depoimentos prestados em audiência, conjugados com a restante prova produzida, apontam em direcção diversa, e delimitam uma conclusão diferente daquela que vingou na 1ª Instância. «Em caso de dúvida, face a depoimentos contraditórios entre si e à fragilidade da prova produzida, deverá prevalecer a decisão proferida pela primeira Instância em observância aos princípios da imediação, da oralidade e da livre apreciação da prova, com a consequente improcedência do recurso nesta parte» (Ana Luísa Geraldes, «Impugnação e reapreciação da decisão sobre a matéria de facto», Estudos em Homenagem ao Prof. Dr. Lebre de Freitas, Vol I, pág. 609).” – citado Acórdão do TRG de 10/01/2019; e, ainda, Acórdão do TRG de 16/11/2017, relator José Alberto Moreira Dias, acessível em www.dgsi.pt, onde se escreve: “O que se acaba de dizer encontra sustentação na expressão “imporem decisão diversa” enunciada no n.º 1 do art. 662º, bem como na ratio e no elemento teleológico desta norma.”.
Nesta decorrência, face à prova (não) produzida e porquanto a argumentação invocada pela apelante em sede deste recurso é improcedente – como se viu -, não apresentando valor suficiente para conduzir e forçar este Tribunal a introduzir alterações na decisão de facto, inevitável é manter a decisão proferida pelo tribunal a quo quanto à matéria de facto vertida nos factos não provados sob o nº 3.
*
Do recurso da apelada
A apelada, em sede de ampliação do objeto de recurso, impugna a decisão do tribunal recorrido sobre a factualidade provada sob os nºs 7 e 13. Tendo dado suficiente cumprimento ao disposto no art. 640º do Cód. Proc. Civil, cumpre decidir.
Defende a apelante que aqueles factos decorreram das alegações vertidas nos arts. 9º e 15º da petição inicial e foram admitidos por acordo entre as partes em sede de audiência prévia, pelo que, não tendo sido apresentada nenhuma reclamação naquela audiência aos factos considerados provados e à selecção dos temas de prova, “não pode a redação dos referidos factos ser alterada, sob pena de violação do Caso Julgado Formal previsto no artigo 620º do CPC”, ou seja, “a fixação destes factos por acordo conduz a que não dependam de prova que os confirme e não podem voltar a ser discutidos, pelo que a prova que os infirme ou altere é irrelevante.”
Esta argumentação não pode ser acolhida, como se passará a explicar.
Na audiência prévia, o tribunal a quo “entendeu” “que se encontram admitidos por acordo” um conjunto de factos (enunciados sob os nºs 1. a 16.), nomeadamente (cfr. ponto IV do despacho ali proferido):
“5. Em 19.10.2019, a A. tirou uma foto e enviou à sua gestora de conta, através da aplicação Whatsapp (Art. 8º parte final da petição inicial).
6. A Autora, seguidamente a enviar a referida fotografia à sua gestora de conta, envia-lhe uma mensagem de texto a questionar se esta teria conhecimento da referida “atualização”, já que a referida janela aparecia constantemente no ecrã do computador (Art. 9º da petição inicial).
9. A Autora, de todas as três vezes que tal lhe foi solicitado, inseriu no computador os códigos que lhe foram enviados para o telemóvel, pois queria concluir a referida “atualização”, por forma a poder aceder livremente à plataforma eletrónica da Ré, o que se lhe encontrava vedado pela permanência da referida “atualização” (Art. 15º da petição inicial).”
Se é certo que as partes não reclamaram de tal despacho (cfr. arts. 591º, nº 1, al f) e 596º, nº 2 do Cód. Proc. Civil), também é certo que a enunciação de factos essenciais “que se encontram admitidos por acordo” em sede de audiência prévia, máxime, aquando da identificação do objecto do litígio e enunciação dos temas de prova, tem uma função meramente “utilitária, destituída, pois, de qualquer significado processualmente vinculativo”, permanecendo válida, com as devidas adaptações, a jurisprudência que foi fixada pelo Assento nº 14/94, de 26/05/94, publicado no DR, I Série, nº 230, de 04/10/94: “no domínio de vigência dos Códigos de Processo Civil de 1939 e 1961 (considerado este último antes e depois da reforma nele introduzida pelo Decreto-Lei n.° 242/85, de 9 de Julho), a especificação, tenha ou não havido reclamações, tenha ou não havido impugnação do despacho que as decidiu, pode sempre ser alterada, mesma na ausência de causas supervenientes, até ao trânsito em julgado da decisão final do litígio” – António Abrantes Geraldes, Paulo Pimenta e Luís Filipe Pires de Sousa, in ob. cit., p. 701-702. Cfr., ainda, neste sentido, António Abrantes Geraldes, in “Recursos no Novo Código de Processo Civil”, 5ª ed., Almedina, 2018, p. 595 e 610-611; e, na jurisprudência, os seguintes Acórdãos do STJ, acessíveis em www.dgsi.pt: de 06/03/2003, relator Ferreira de Almeida, proc. nº 03B013; de 27/03/2024, relator Pinto Hespanhol, proc. nº 4212/08.0TTLSB.L1.S1 (e jurisprudência aí citada); e de 17/05/2018, relatora Rosa Tching, proc. nº 3811/13.3TBPRD.P1.S1, onde se esclarece que o despacho que o juiz entenda (uma vez que não está previsto na lei) proferir de fixação da matéria de facto considerada assente “não pode deixar de ser visto como um “guião” ou mero “suporte de trabalho” para o julgamento, pelo que, mesmo depois de decididas as reclamações contra ele apresentadas, não se forma caso julgado formal sobre ele, podendo, por isso, os factos dados como assentes ser alterados pelo juiz do julgamento e/ou pelo juiz do tribunal de recurso.”
Desta forma, ao contrário do entendimento da apelante, não existe caso julgado formal relativamente à fixação dos factos impugnados pela apelada, nada impedindo o seu conhecimento por este tribunal, o que se passa a fazer.
Entende a apelada que a pretensão da apelante quanto aos factos provados sob os nºs 7 e 13 não pode proceder: por conter “matéria não alegada pelas Partes”, conforme exige o art. 5º, nº 1 do Cód. Proc. Civil; e “os factos instrumentais tendo uma função probatória não constituem uma condicionante direta da decisão, sendo a sua função, antes, a de permitir a prova dos factos principais , devendo por essa razão, em regra, integrar a motivação da matéria de facto, não deverão ser objeto de um juízo probatório específico, a discriminar enquanto factualidade julgada provada ou não provada.”
Esta argumentação será apreciada a propósito de cada um daqueles factos que a apelada pretende ver alterado.
Quanto aos factos provados sob o nº 7 [“A A., seguidamente a enviar a referida fotografia à sua gestora de conta, envia-lhe uma mensagem de texto a questionar se esta teria conhecimento da referida “atualização”, já que a referida janela aparecia constantemente no ecrã do computador”], pretende a apelada a alteração dos mesmos para: “A A., seguidamente a enviar a referida fotografia à sua gestora de conta, envia-lhe uma mensagem de texto a questionar se a mesma sabia responder-lhe o que era aquilo, que aparecia todas as vezes que entrava na conta e que não sabia se era vírus.”.
Sustenta a sua pretensão no documento nº 2 junto com a petição inicial e nas declarações de parte da legal representante da Autora.
A factualidade vertida sob o nº 7 dos factos provados foi alegada pela Autora nos arts. 8º e 9º da petição inicial, com o seguinte teor:
“8.º
Sendo utilizadora frequente da referida plataforma eletrónica da Ré, e nunca antes daquela data tendo sido confrontada com semelhante situação, a Autora tirou uma fotografia ao visor do seu computador e enviou a fotografia, através da aplicação WhatsApp, à sua Gestora de Conta, a Senhora AA, conforme documento que ora se junta como Doc. 2 e se dá por integralmente reproduzido para todos os efeitos legais.
9.º
Nos termos do referido Doc. 2, a Autora, seguidamente a enviar a referida fotografia à sua Gestora de Conta, envia-lhe uma mensagem de texto a questionar se esta teria constantemente da referida “atualização”, já que a referida janela aparecia constantemente no ecrã do computador.”
Por sua vez, a factualidade que a Ré/apelada pretende ver aditada ao nº 7 dos factos provados [ou seja, a menção feita pela Autora na mensagem que enviou à sua gestora de conta sobre a dúvida sobre a existência de um vírus] foi por si alegada nos arts. 29º, 34º e 106º da contestação, com o seguinte teor:
“29º
Apesar de a A. colocar até a hipótese de se tratar de um vírus informático (cfr. Doc. nº 2 junto à P.I.: “Todas a vezes que entro na conta aparece isso … não sei se é vírus”),
34.
Afirma a A. que não estranhou as referidas solicitações de introdução de códigos artigo 17º da PI o que, porém, não pode ter-se por aceitável nem razoável, para mais tendo estranhado a janela de atualização e pondo a hipótese de se tratar de um vírus .
106.
A conduta da AA., inserindo os SMS code apesar de desconhecer o beneficiário validado e o IBAN identificado, e de a situação se lhe afigurar de tal forma estranha que chegou a equacionar a hipótese de o seu computador estar infetado por vírus [e não obstante, sem procurar ativamente averiguar, prosseguiu!], mostrou-se eivada de negligência grave.”
Constata-se, assim, ao contrário do sustentado pela apelante, que a Ré alegou, nos mencionados artigos da contestação, a concreta factualidade que pretende ver aditada aos factos provados, pelo que não existe qualquer obstáculo à respectiva apreciação, o que se passa a fazer.
O documento nº 2 junto pela Autora com a petição inicial [e que a mesma considera, inclusive, “integralmente reproduzido para todos os efeitos legais” no art. 8º da petição inicial], corresponde à fotografia da mensagem de texto que a Autora enviou à sua gestora de conta e a que aludem os nºs 6 e 7 dos factos provados e tem o seguinte teor:“Boa tarde querida, sabe me responder o que é isto? Todas a vezes que entro na conta aparece isso … não sei se é vírus”.
Tal documento, junto pela Autora, que redigiu o texto da mensagem nele impressa (tal como é reconhecido pela mesma no art. 9º da petição inicial), não foi objecto de impugnação pela Ré. Donde, não pode deixar de alicerçar a convicção do tribunal de que corresponde, na íntegra, ao teor da aludida mensagem, teor esse, que deve ser espelhado nos factos provados.
Assim, a redacção dos factos provados sob o nº 7 deverá ser alterada e passar a ter o seguinte teor – procedendo, nestes precisos termos, a pretensão da apelada a este respeito:
“A A., seguidamente a enviar a referida fotografia à sua gestora de conta, envia-lhe uma mensagem de texto com o seguinte teor: “Boa tarde querida, sabe me responder o que é isto? Todas a vezes que entro na conta aparece isso … não sei se é vírus”.
*
Quanto aos factos provados sob o nº 13 [“A A., de todas as três vezes que tal lhe foi solicitado, inseriu no computador os códigos que lhe foram enviados para o telemóvel, pois queria concluir a referida “atualização”, por forma a poder aceder livremente à plataforma eletrónica da R., o que se lhe encontrava vedado pela permanência da referida “atualização”], pretende a apelada o aditamento aos mesmos da menção: “A A. não leu todo o texto dos SMS recebidos”.
Ora, relativamente a estes factos que a apelada pretende ver aditados, importa notar que os mesmos não foram alegados pela Autora na petição inicial, nem pela Ré na contestação.
Admitindo que os mencionados factos, agora alegados, poderiam assumir, atenta a causa de pedir dos autos, a natureza de factos complementares, o certo é que não podem os mesmos ser introduzidos no processo nesta fase.
Na verdade, nos termos do art. 5º, nº 2, al. b) do Cód. Proc. Civil, o juiz deve considerar os factos que sejam complemento ou concretização dos que as partes hajam alegado e resultem da instrução da causa, desde que sobre eles tenham tido a possibilidade de se pronunciar. Ou seja, os factos complementares que não tenham sido alegados pelas partes, mas que resultem da instrução da causa, podem ser atendidos, desde que cumprido o contraditório relativamente aos mesmos.
O que significa que os factos ora em referência só poderiam ser introduzidos no processo no decurso do julgamento em primeira instância, mediante requerimento da parte ou oficiosamente, sendo que, neste último caso, caberia ao juiz anunciar às partes que estava a equacionar utilizar este mecanismo de ampliação da matéria de facto. Em qualquer dessas circunstâncias, assiste à parte beneficiada pelo facto complementar e à contraparte a faculdade de requererem a produção de novos meios de prova para fazer a prova ou contraprova dos novos factos complementares, em cumprimento do princípio do contraditório (cfr. parte final do citado preceito e art. 3º, nº 3 do Cód. Proc. Civil) – cfr. António Abrantes Geraldes, Paulo Pimenta e Luís Filipe Pires de Sousa, in ob. cit., p. 28-29.
Não tendo a Ré/apelada apresentado tempestivamente requerimento de ampliação fáctica, nem tendo tal ampliação sido determinada oficiosamente pelo tribunal (cfr. actas da audiência final), encontra-se precludida a ampliação da matéria de facto com tal fundamento em sede desta apelação, o que, a ser admitido, corresponderia ao conhecimento de uma questão nova, sendo certo que, como é sabido, os recursos são meios de impugnação de decisões judiciais através dos quais se visa reapreciar e modificar decisões já proferidas que incidam sobre questões que tenham sido anteriormente apreciadas, e não criá-las sobre matéria nova. Note-se, ainda, que a ampliação da matéria de facto determinada pela Relação nos termos do art. 662º, nº 2, al. c), parte final, do Cód. Proc. Civil tem por limite a factualidade tempestivamente alegada pelas partes – cfr. António Abrantes Geraldes, in ob. cit., p. 307.
Assim, está vedado a este tribunal apreciar e pronunciar-se sobre os factos ora em referência. Donde, a improcedência da pretensão da apelada a este propósito.
*
Do mérito da causa
É pacífico nos autos que entre a Autora e a Ré se estabeleceu uma relação contratual por via da abertura de uma conta bancária [isto é, um contrato de depósito bancário, definido como aquele “pelo qual uma pessoa (o depositante) confia dinheiro a uma instituição bancária (depositária), a qual, tornando-se proprietária dos fundos depositados, fica com o direito de livremente dispor deles para as necessidades da sua actividade profissional e assume a obrigação de restituir outro tanto, em conformidade com o estipulado entre as partes”: José Maria Pires, in “Direito Bancário”, vol. II, p. 168], e a adesão daquela ao sistema de homebanking disponibilizado pela Ré, denominado “Net24” (cfr. factos provados sob os nºs 2 e 5).
O homebanking traduz-se na “possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, on line, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o [que se] reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet” - Acórdão do STJ de 18/12/2013, relatora Ana Paula Boularot, proc. nº 6479/09.8TBBRG.G1.S1, acessível em www.dgsi.pt.
Como se explica no Acórdão do STJ de 14/12/2016, relator Pinto de Almeida, proc. nº 1063/12.1TVLSB.L1.S1, acessível em www.dgsi.pt: “o contrato de “homebanking” (…) é o acordo mediante o qual o cliente adere a um serviço prestado pelo banco, que consiste na possibilidade de manter relações via internet, de forma a: (i) aceder a informações sobre produtos e serviços do banco; (ii) obter informações e realizar operações bancárias sobre contas de que a autora fosse titular; (iii) realizar pagamentos, cobranças e operações de compra, venda, subscrição ou resgate sobre produtos ou serviços disponibilizados pelo banco.”
Este contrato de prestação de serviços de pagamento é regulado pelo Decreto-Lei nº 91/2018, de 12/11, que transpõe para o ordenamento jurídico nacional a Directiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de Novembro de 2015, relativa aos serviços de pagamento no mercado interno (segunda Directiva de Serviços de Pagamento – DSP2), que procedeu a uma revisão do enquadramento jurídico europeu em matéria de serviços de pagamento.
O citado Decreto-Lei impõe o cumprimento de um conjunto de deveres ao utilizador e ao prestador dos serviços de pagamento associados aos instrumentos de pagamento que se desenrolam via homebanking, para além da necessária autorização do depositante.
Assim, são obrigações do utilizador (art. 110º do Decreto-Lei):
- utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objectivas, não discriminatórias e proporcionais (al. a) do nº 1), para o que o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas (nº 2);
- comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento (al. b) do nº 1).
Por seu turno, são obrigações do prestador de serviços de pagamento:
- apenas realizar operações consentidas pelo ordenante pela forma acordada (art. 103º do Decreto-Lei nº 91/2018);
- garantir que as operações não são afectadas por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado (arts. 70º e 114º do citado Decreto-Lei);
- aplicar autenticação forte nas situações legalmente determinadas (art. 104º do mencionado Decreto-Lei);
- realizar a operação solicitada e autorizada, se reunidas as condições previstas no contrato-quadro celebrado com o ordenante, excepto se ocorrer acesso fraudulento ou não autorizado à conta de pagamento (arts. 108º, 109ºe 120º do aludido Decreto-Lei).
- reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada (art. 114º do Decreto-Lei em referência), excepto se tiver motivos para desconfiar de fraude.
Nesta senda, dispõe o art. 113º do mesmo Decreto-Lei, sob a epígrafe “Prova de autenticação e execução da operação de pagamento”:
“1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
2 - Se a operação de pagamento tiver sido iniciada através de um prestador do serviço de iniciação do pagamento, recai sobre este último o ónus de provar que, no âmbito da sua esfera de competências, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
3 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º
4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.”
Como se esclarece no já citado Acórdão do STJ de 14/12/2016:
“Compreende-se este regime: por um lado, só o prestador do serviço de pagamentos, também fornecedor deste serviço, pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento, garantindo também a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento.
Daí que recaiam sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema (como decorreria também do disposto no art. 796º do CC), impendendo ainda sobre este o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência.
(…)
Por outro lado, o utilizador do serviço de pagamento tem de dispor de um conjunto de dispositivos de segurança (código de acesso, cartão matriz, etc.) que lhe vão permitir aceder a esse serviço.
Esses dispositivos de segurança personalizados têm uma função de autenticação – art. 2º, al. t) do RSP – permitindo identificar o utilizador e verificar se este é efectivamente o cliente que contratou o serviço de homebanking.
Exige-se, por isso, ao utilizador que tome todas as medidas razoáveis em ordem a preservar a eficácia desses dispositivos de segurança personalizados.”
Resulta do exposto que, para se desonerar da responsabilidade de reembolso à Autora dos montantes transferidos da conta desta e em causa nos autos, incumbe à Ré, na qualidade de prestadora de serviços de pagamento, a prova: (i) que as operações de pagamentos que executou foram devidamente autenticadas pela cliente, aqui Autora, e devidamente registadas e contabilizadas (art. 113º, nºs 1 e 2 do Dec. Lei nº 91/2018); (ii) que tais operações de pagamento não foram afectadas por avaria técnica ou qualquer outra deficiência do serviço de pagamento prestado pela Ré na qualidade de prestadora de serviços (mesmas normas); (iii) que a Autora, na qualidade de utilizadora de serviços de pagamento, actuou de forma fraudulenta ou incumpriu de forma deliberada uma ou mais das suas obrigações decorrentes do art. 110º do Dec. Lei nº 91/2018 ou actuou com negligência grosseira (nºs 3 e 4 do citado art. 113º).
No caso, provou-se que:
(i) as operações bancárias foram efectuadas com Autenticação Forte, com 3 níveis de segurança (de acordo com o funcionamento do sistema na altura): introdução do número utilizador da Autora e do número da password (composta por seis dígitos; código PIN multicanal), bem como dos códigos de autorização enviados por “SMS CODE” para o telemóvel nº ..., número este, registado e certificado na Base de Dados da Ré para operações no âmbito do homebanking (factos provados nºs 3, 11, 13, 15, 32, 33, 43 a 49 e 60). Ou seja, os movimentos bancários ocorridos derivaram da introdução de credenciais e códigos através do computador da Autora, incluindo, a introdução dos códigos de autorização que foram recebidas no seu telemóvel e, acto contínuo, o sistema da Ré, por estarem reunidos todos os requisitos de movimentação, cumpriu as instruções de operações solicitadas. Donde, foram cumpridas todas as regras de autenticação e autorização das operações em vigor, tendo sido utilizados os três níveis de segurança para autenticação forte: introdução do número utilizador da Autora (1º nível); da password (2º nível); e dos códigos de autorização enviados por “SMS CODE” (3º nível).
(ii) os movimentos bancários em causa foram efectuados através do Serviço Net24 [que é controlado pelo Banco Montepio, aqui Ré, no que respeita aos acessos feitos com as legítimas credenciais dos clientes] ao abrigo das normas de segurança estabelecidas e validados com todos os dados reservados ao cliente, e os computadores da Ré não foram alvo de qualquer quebra de segurança informática, não tendo o sítio institucional do Montepio sido alvo de intrusão, ou qualquer outra violação (factos provados nºs 61 a 63).
Quanto à existência de negligência grosseira por parte da Autora, o tribunal a quo concluiu pela sua verificação, discordando a apelante dessa qualificação relativamente à sua conduta.
Apreciemos.
Afirma-se no Considerando (72) da Diretiva DSP2 que: “Para avaliar a eventual negligência ou negligência grosseira cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias. Os elementos de prova e o grau da alegada negligência deverão ser avaliados nos termos do direito nacional. Todavia, embora o conceito de negligência implique uma violação do dever de diligência, a negligência grosseira deverá significar mais do que mera negligência, envolvendo uma conduta que revela um grau significativo de imprudência; por exemplo, conservar as credenciais utilizadas para autorizar uma operação de pagamento juntamente com o instrumento de pagamento, num formato que seja aberto e facilmente detetável por terceiros.”
Dispõe o art. 487º, nº 2 do Cód. Civil, que: “A culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso”.
No acórdão do TRP de 14/07/2020, relator Fernando Baptista, proc. nº 22158/17.0T8PRT.P1, acessível em www.dgsi.pt, considera-se que a negligência grosseira “constitui a grave omissão das cautelas necessárias para evitar a realização do facto anti-jurídico, quando não foi observado, de forma pouco habitual, o cuidado exigido, ou que, no caso concreto, resultaria evidente para qualquer pessoa. A negligência grosseira é, assim, como dito, uma negligência qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta de cuidados elementares, adoptando-se uma conduta de manifesta irreflexão ou ligeireza. Trata-se de uma negligência temerária, consistindo na falta das precauções exigidas pela mais elementar prudência”; sendo “indiferente à qualificação de negligência como grosseira, a circunstância de o agente haver ou não previsto a realização do resultado típico (com ele não se conformando, obviamente), querendo com isto significar-se que quer a negligência consciente, quer a inconsciente podem consubstanciar este concreto tipo de culpa. / Há-de é tratar-se de temeridade, de ousadia perante o perigo quase certo, previsto ou previsível atentas as circunstâncias.”
“Um acto qualificável como negligência grosseira, no âmbito da utilização de um sistema bancário electrónico de pagamentos, corresponde a um erro imperdoável, a uma desatenção inexplicável, a uma incúria inaceitável, por referência ao comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes” - Acórdão do TRP de 10/01/2023, relator Rui Moreira, proc. nº 1053/20.0T8MAI.P1, acessível em www.dgsi.pt.
A culpa grosseira ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do (contraria o) grau de diligência minimamente exigível e da observância de deveres de cuidado (resultantes da relação jurídica) ostensivamente evidentes, patentes e manifestos, traduzindo desconsideração do proceder expectável a qualquer comum utilizador do serviço de pagamento minimamente cuidadoso, apresentando-se como altamente reprovável à luz do mais elementar senso comum, revelando desconformidade com todos os padrões de referência. “O padrão de conduta exigível ao utilizador do serviço (‘a bitola com que se mede o grau de diligência’ exigível) é o prescrito no art. 487º, nº 2 do CC – e por isso que a culpa (juízo de censura ético) será apurada por referência ao modelo de uma pessoa-tipo, um sujeito ideal, o tipo de homem médio ou normal, medianamente sagaz, prudente avisado e cuidadoso (fazendo reportar estas qualidades ao do utilizador do serviço em causa) que utiliza tais serviços; a referência legal ao bom pai de família acentua mais a nota ética ou deontológica do bom cidadão do que o critério puramente estatístico do homem médio (o que significa deverem ser desprezadas as práticas de desleixo, de desmazelo ou de incúria, que porventura se tenham generalizado no meio, se outra for a conduta exigível das pessoas de boa formação e são procedimento)”. A negligência grosseira será, pois, de afirmar quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de prudência e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes – comportamento que nunca por nunca seria adoptado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adoptar e/ou prosseguir – Acórdão do TRP de 18/04/2023, relator João Ramos Lopes, proc. nº 16900/21.1T8PRT.P1, acessível em www.dgsi.pt.
Tendo presentes estes ensinamentos e analisando a factualidade provada [tal como, inclusive, resultou, da decisão acima proferida sobre a mesma], afigura-se-nos que, no caso, a Autora actuou com culpa grosseira, como veio a ser considerado na decisão recorrida.
Senão, vejamos.
A Autora (na pessoa da legal representante) acedeu à sua conta bancária através da plataforma de homebanking da Ré, com o propósito de obter um extracto de conta (factos provados nº 3), aí tendo introduzido as credenciais de acesso àquele sistema (de homebanking), mediante a Autenticação Forte, que constituem elementos de conhecimento, a saber, identificação do utilizador e password pessoal e intransmissível (factos provados nºs 48 e 60); após, na página aberta pela Autora, surgiu no ecrã uma janela de “Atualização do módulo de Segurança”, cujo propósito seria proteger o computador da Autora contra eventuais ataques cibernéticos, a actualização não ocorreria de modo imediato, levando “alguns minutos” para ser concluída e para “garantir a segurança” do procedimento iriam ser solicitadas informações à Autora (factos provados nº 4); confrontada com esta “janela” e seu teor, a Autora tirou uma foto e enviou à sua gestora de conta, através da aplicação Whatsapp, acompanhada de uma mensagem de texto com o seguinte teor: “Boa tarde querida, sabe me responder o que é isto? Todas a vezes que entro na conta aparece isso … não sei se é vírus” (factos provados nºs 6 e 7, este, com a redacção que resultou da decisão sobre a matéria de facto); de seguida, e sem esperar pela resposta da gestora de conta, a Autora continuou a aceder à mesma página, que continuava a conter a aludida janela de “Atualização do módulo de Segurança”, tendo, entretanto sido enviados três códigos de autorização, através de mensagem SMS, para o telemóvel da Autora [para o nº de telemóvel registado e certificado na Base de Dados do Banco Montepio para operações no âmbito do homebanking] com o seguinte texto “Montepio-Valide Certif.Ben.Freq.no Net24 em: Dia – Hora- Tipo Transf. Interbancária; IBAN: n.º de iban XXXX com o código: xxx SMSCode”; imediatamente após o envio de cada um desses códigos de autorização, apareciam novas janelas no ecrã do computador da Autora, sobrepostas à referida janela de “atualização”, com uma mensagem a solicitar a introdução dos códigos de autorização no campo para o efeito, que se encontrava nessa mesma mensagem sobreposta, para que a “atualização” pudesse ser concluída, ao que a Autora, de todas as três vezes que tal lhe foi solicitado, anuiu, inserindo no computador os códigos que lhe foram enviados para o telemóvel; de seguida, surgiu no ecrã do computador da Autora uma nova mensagem a solicitar que esta colocasse as sua credenciais de acesso ao Banco BPI, o que lhe causou estranheza, já que a Autora estava a aceder à plataforma de homebanking da Ré, tendo, de seguida, desligado o seu computador e decidido aguardar pelo contacto da sua gestora de conta (factos provados sob os nºs 8, 9, 11 a 13, 15, 16., 43.3, 43.4 e 49) – sendo certo que, por um lado, foi com a introdução (inicial) do nº de utilizador e da password pela Autora, conjugado com aqueles três códigos de autorização, recebidos pela Autora por SMS CODE e pela mesma introduzidos voluntariamente no site através do seu computador, que os movimentos bancários lograram ser efectuados (factos provados sob os nºs 33, 43 a 49, 58 e 60); e, por outro lado, que, ao contrário do sustentado pela apelante, não eram utilizados, na data dos factos, quatro níveis de segurança, mas três, sendo a utilização do cartão matriz alternativa (e não cumulativa) com o SMS CODE (factos provados sob o nº 33, na redacção que resultou da decisão sobre a matéria de facto), pelo que é irrelevante a argumentação de que, em momento algum, foi solicitada à Autora a indicação de qualquer posição do cartão matriz (pois que foi utilizado, como 3º nível de segurança, o SMS CODE).
Perante esta factualidade, afigura-se-nos cristalino que a Autora não observou a cautela mínima - exigível ao comum dos utilizadores dos serviços de homebanking, mesmo aos menos diligentes – de, após se ter deparado com uma janela de “Atualização do módulo de segurança”, que lhe suscitou dúvidas, levando-a, inclusive, a pensar que poderia ser um vírus, e a solicitar o respectivo esclarecimento à sua gestora de conta, não esperou pela resposta desta, continuando a aceder à mesma página. Numa situação idêntica, o comum dos utilizadores dos serviços de homebanking, mesmo o menos diligente, ter-se-ia abstido de prosseguir a “navegação” na página onde lhe continuava a aparecer a tal janela de “Atualização do módulo de segurança” até ter a certeza que estava perante um procedimento legítimo do próprio banco. Note-se, inclusive, que a Autora efectuou vários log-in (e log-off) na plataforma Net24Empresas, nunca tendo desaparecido a referida janela de “atualização”, entre os vários inícios e encerramentos de sessão na referida plataforma (factos provados sob o nº 8), o que, mais uma vez, levaria o comum dos utilizadores dos serviços de homebanking, mesmo aos menos diligentes, a abster-se de continuar a aceder a tal (sempre a mesma) página.
Mais, não só a Autora desconsiderou as mais elementares regras de cuidado e prudência, quando, perante a dúvida de a segurança do seu computador estar comprometida pela existência de um vírus, ter continuado a aceder à plataforma da Ré de homebanking, como as voltou a desconsiderar quando após ter recebido sucessivas mensagens de SMS com o texto: “Montepio-Valide Certif.Ben.Freq.no Net24 em: Dia – Hora- Tipo Transf. Interbancária; IBAN: n.º de iban XXXX com o código: xxx SMSCode”, ter introduzido os respectivos códigos naquela plataforma. O comum dos utilizadores teria a diligência mínima para, lendo o texto daquelas mensagens e não estando a (nem pretendendo) efectuar nenhuma das operações indicadas nas mesmas, nem conhecendo os IBAN ali mencionados (factos provados sob o nº 23), não introduzir os respectivos códigos na plataforma, máxime, quando, momentos antes, tinha questionado se a segurança do seu computador estaria comprometida com um vírus.
Acresce que, ao contrário do que seria de esperar de um comum utilizador deste tipo de serviço e, apesar de ser uma utilizadora frequente da plataforma electrónica de homebanking da Ré, à qual aderiu em 20/08/2014 (factos provados sob os nºs 5 e 38), e dos avisos e recomendações de segurança que a Ré tem disponíveis quando se efectua um acesso à sua página da internet (factos provados sob os nºs 54 a 57), a Autora acabou por introduzir códigos de validação de operações que não estava a efectuar perante um écran com uma janela de conteúdo idêntico a um daqueles Alertas de Segurança (factos provados sob o nº 57) e que, ab initio, lhe tinha suscitado dúvidas sobre a fiabilidade/credibilidade/legitimidade do sistema, ao ponto de equacionar estar na presença de um vírus informático, como se viu.
A Autora, com o seu comportamento, desconsiderou as mais elementares regras de cuidado e prudência ligadas à necessidade de acautelar a ocorrência de fraude informática, quando em confronto com o que um utilizador comum faria perante uma situação semelhante, sendo que o grau de reprovação da Autora ultrapassa a mera censura que seria feita a um simples descuido ou acto irreflectido. A Autora omitiu os mais elementares deveres de cuidado e diligência que se impunham nas concretas circunstâncias que se lhe depararam e cuja observância lhe teria permitido prever o resultado e tomar as necessárias providências para o evitar.
Donde, é de concluir que agiu com negligência grosseira e que esta foi a condição necessária e adequada para a ocorrência das operações de pagamento ocorridas, devendo por isso, a Autora, cliente utilizador do serviço, suportar a totalidade dos prejuízos sofridos.
Pelo exposto, improcede a apelação, sendo de manter a sentença recorrida.
*
As custas devidas pela presente apelação são da responsabilidade da apelante - cfr. art. 527º, nºs 1 e 2 do Cód. Proc. Civil e art. 1º, nºs 1 e 2 do Regulamento das Custas Processuais.
V. DECISÃO
Pelo exposto, acordam os juízes desta 7.ª Secção do Tribunal de Relação de Lisboa em julgar a presente apelação totalmente improcedente, e, em consequência, manter a sentença recorrida.
Custas pela apelante.
*
Lisboa, 1 de Julho de 2025
Cristina Silva Maximiano
Alexandra de Castro Rocha
Edgar Taborda Lopes