Tribunal da Relação do Porto
Processo
3501/24.1T8VFR.P1
Relator
RAQUEL CORREIA DE LIMA
Sessão
16 Janeiro 2026
Votação
UNANIMIDADE
Meio Processual
APELAÇÃO
Decisão
CONFIRMAÇÃO
Ver versão dgsi.pt
Obter PDF
RESPONSABILIDADE BANCÁRIA
HOMEBANKING
NEGLIGÊNCIA GROSSEIRA
Sumário

I - Por força da aplicação do regime especial previsto no DL 91/2018, de 12 de Novembro (Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica) que corresponde à transposição da Directiva PSD2 para o ordenamento jurídico português, nos casos previstos nos artigos 113ºss, em que um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, cabe ao prestador de serviços a prova da existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.
II - Negligência grosseira é mais do que uma simples negligência, imprudência ou distracção - significa um comportamento com um alto grau de desleixo e incúria e abrange situações em que a conduta do utilizador não apenas viola um dever de diligência básico, mas mostra uma inobservância clara e injustificável das regras mais elementares de cuidado.
III - Se estivermos perante um ataque sofisticado muito credível - no caso, Caller ID Spoofing - chamadas de números que parecem locais ou conhecidos, mas são golpistas - em que podemos afirmar que qualquer utilizador médio, não o utilizador ideal, naquela situação, agiria de igual forma, não há negligência grosseira.

(Sumário da Responsabilidade da Relatora)

Texto Integral

Tribunal Judicial da Comarca de Aveiro
Juízo Local Cível de Santa Maria da Feira, Juiz 1.

Processo: 3501/24.1T8VFR

ACÓRDÃO

I. RELATÓRIO (transcrição )


AA interpôs ação declarativa contra a Banco 1..., S.A, em que pede a condenação desta no pagamento da quantia de 5.661,64€, em que 5.000€ correspondem a valor ilegitimamente transferido da sua conta pra a conta de terceiro e 661,64€ de juros.

Diz que no dia 5 de novembro de 2023, por volta das 11 horas e 10 minutos, recebeu chamada telefónica do número oficial da Banco 1... (doravante tão somente referida como Ré ou como Banco 1...), falou com um indivíduo que se identificou como funcionário do banco, confirmou os dados pessoais da Autora, informou que estaria a tratar da reversão/anulação de uma transferência e que, para cancelar a transferência que terceiros estavam a tentar fazer da sua conta, teria que transmitir os códigos SMS para concluir aquela anulação.

Diz que cedeu os códigos acreditando que seriam para cancelar a operação, mas contrariamente ao que lhe foi dito, foi debitada da sua conta a quantia de 5.000,00€.

Nessa sequência contactou a Ré e pediu para cancelar a transferência e que cativasse os valores indevidamente transferidos, mas os serviços da Ré condicionaram a sua atuação à prévia apresentação de queixa crime. Diz que apresentou queixa na Polícia Judiciária de Aveiro onde soube que a conta de destino estava sediada na própria Banco 1..., nos Açores. Diz que a Ré nunca se pronunciou por escrito nem informou sobre diligências para reverter a situação ou creditar a quantia na conta da Autora.

A Ré apresentou contestação. Diz que cumpriu integralmente as suas obrigações contratuais e que os alegados danos ocorrem por culpa única e exclusiva da Autora.

Diz que a Autora omitiu ter recebido um primeiro SMS com um link suspeito, o que a levou a clicar e a facultar os dados de acesso ao serviço ...Direta e o contacto telefónico.

Diz que inseriu os seis dígitos constantes SMS Token para transferir 7.500,00€ da sua conta a prazo para a sua conta à ordem. Em seguida, julgando estar a anular a transferência, diz que a Autora inseriu ainda as três credenciais do cartão matriz e um novo e distinto código de 6 dígitos de um SMS que expressamente mencionava que se destinava a confirmar uma transferência de 5.000,00€ para outra conta e com o alerta “Não partilhe com ninguém.”.

Enfatiza que o acesso ao Homebanking (...Direta) exige a inserção cumulativa de número de contrato + código PIN + três coordenadas aleatórias do cartão matriz + SMS Token e que a Autora inseriu todos estes elementos e que bastaria não ter inserido qualquer um deles para que as transferências não se efetuassem.

Diz que todos os SMS Token remetidos para o telemóvel da Autora referem expressamente que os códigos se destinam à confirmação dos atos bancários nele explicitados.

Diz que a operação foi devidamente autorizada e validada pela Autora mediante tripla credenciação e que, por isso, a Banco 1... considera a instrução legítima e não tem quaisquer motivos para obstaculizar a concretização da operação.

Diz que o sistema informático da Banco 1... não foi afetado nem invadido por qualquer deficiência ou avaria, tendo a Banco 1... cumprido escrupulosamente com o seu dever de diligência na prevenção da fraude. A Autora é que agiu com manifesta negligência grosseira. Diz ainda que publica alertas de segurança no seu site institucional, em canais APP e WEB, e através de comunicações massivas (mensagem segura via ...Direta, notificações na APP), divulgando recomendações e o modus operandi dos burlões. A Ré destaca alertas como "Desconfie de chamadas que não solicitou" e "A Banco 1... não contacta Clientes a solicitar credenciais para o cancelamento de operações", os quais a Autora manifestamente ignorou. E ainda que desde agosto de 2008, a Banco 1... apresenta sistematicamente, sob a forma de "pop-up" na página de autenticação do serviço (login), diversa informação de segurança, alertando para riscos de fraude. Estas janelas "pop-up" exigem que o utilizador clique em "fechar" e "OK" para prosseguir, implicando o seu conhecimento dos avisos.


**

Procedeu-se a julgamento e, a final, foi proferida sentença que julgou a acção integralmente procedente e em consequência, condenou a Ré Banco 1..., S.A., no pagamento à Autora AA, da quantia de 5.000,00€ (cinco mil euros), acrescida de juros de mora vencidos e vincendos, calculados desde 06-11-2023 até efectivo e integral pagamento, calculados à taxa legal de 14% por cada dia.

RECURSO
Não se conformando com o teor da sentença veio a Banco 1... interpor recurso.
Após motivação, apresenta as seguintes CONCLUSÕES:

1. A procedência total da presente ação funda-se no entendimento, face ao quadro normativo vigente e aqui aplicável, de que o comportamento da Autora – cabalmente explanado na factualidade provada – não consubstancia negligência grosseira.

2. Assumindo a presente factualidade dada como provada – e que não impugnamos no presente recurso – não nos poderemos conformar com tal entendimento.

3. Com efeito, a factualidade dada como provada e constante dos pontos 5; 8 a 15; 17 a 20; 23 e 25 a 27 – e que acima transcrevemos para uma mais fácil apreensão – resulta o elenco exaustivo, pormenorizado e sequencial de todos os atos praticados pela Autora – e que permitiram a concretização dos movimentos bancários que repudia – os quais, a nosso ver, se subsumem inegavelmente ao conceito da exigível negligência grosseira da Autora.

4. Na verdade, em total desrespeito e desconsideração pelos inúmeros avisos e alertas reiteradamente facultados pela Banco 1... aos seus Clientes (e bem assim todos aqueles que são diariamente divulgados pelos meios de Comunicação Social e Redes Sociais) – cabalmente expostos na factualidade provada – a Autora:
- carregou num link remetido através de um email suspeito;
- facultou todos os dados pessoais e intransmissíveis que lhe foram solicitados (NIF, número de contrato ...Direta, código pessoal de acesso (PIN) com seis dígitos);
- facultou as credenciais do cartão matriz; e
- por último, E ANTAGONICAMENTE AO QUE PRETENDIA EFETUAR confirmou, antes, e singularmente, cada uma das transferências que repudia, mediante transmissão dos códigos de seis dígitos constantes dos SMS token que lhe foram remetidas com a concreta explicitação da natureza do movimento bancário – transferência e indicação do respetivo IBAN – e inerente valor (!!!).

5. Não se poderá, assim sustentar – e tal como o faz o Meritíssimo Juiz a quo na sentença ora em recurso – que não era exigível à Autora que se apercebesse da falsidade do procedimento de que alega ter sido vítima.

6. Bem pelo contrário, tal procedimento estava justamente exposto, e com estes exatos e concretos contornos, nos avisos e alertas divulgados.

7. Por outro lado, a concluir-se – e como se faz na sentença – que a negligência grosseira só ocorreria se se pudesse concluir que NINGUÉM, no lugar da Autora, teria agido como ela é, ressalvado o muito e devido respeito, infundado, perverso e subversivo do próprio espírito do legislador.

8. A admitir-se tal entendimento – e sendo certo que da própria natureza humana resulta que sempre existirá alguém incauto que permitirá a concretização deste tipo (ou qualquer outro tipo) de fraude – ter-se-ia que concluir, desde logo, que pela sua irreversibilidade, atento o facto de as descritas fraudes serem crescentemente inovadoras e mais complexas;

9. A que acresce o facto de tal entendimento contrariar, de igual modo, o próprio espírito do legislador (que preceituou expressamente que a responsabilidade dos Bancos fosse afastada nos casos em que as pretensas fraudes ocorrem exclusivamente por negligência grosseira dos próprios Clientes) porquanto, a assim entender-se, os Bancos – e excluídos que sejam os casos de inverosímil (e sob pena de manifesto absurdo) dolo – sempre seriam, na prática, responsabilizados por todo e qualquer movimento que viesse a ser repudiado pelos Clientes, com este fundamento;

10. O que, no limite, viria a conduzir à extinção do serviço de homebanking – solução esta que não se compagina, obviamente com o giro bancário moderno.

11. Em suma, entendemos resultar da factualidade dada como provada que o comportamento da Autora consubstancia uma inegável negligência grosseira devendo, nessa conformidade, concluir-se pela não responsabilização do Banco Réu – no caso, a Banco 1... – o que determina, e contrariamente ao decidido, a improcedência total da presente ação com a absolvição da Ré do pedido.

12. Assim se não entendendo – o que apenas se admite por mera hipótese de raciocínio, face ao acima exposto, terá que se retificar a parte dispositiva da sentença no sentido de que os juros de mora a liquidar pela R. correspondem à taxa legal anual, e não mensal (como da sentença consta) de 14%.

13. Decidindo-se em contrário violou-se o preceituado nos arts. 406.º; 487.º n.º 2; 574.º e 770.º n.º 2 do Código Civil e arts. 110.º n.º 1 a) e b) e n.º 2; 113.º n.ºs 1,3 e 4 e 115.º n.s. 3 e 4 do D.L 91/2018, de 12/11 (RJSPME).


Termos em que, julgando-se totalmente procedente o presente recurso e revogando-se a sentença proferida cumprir-se-á a lei e far-se-á INTEIRA JUSTIÇA!...


*

Houve contra alegações.

*


Colhidos os vistos, cumpre decidir.


II. DELIMITAÇÃO DO OBJECTO DO RECURSO

O objecto do recurso é delimitado pelas conclusões da alegação do recorrente, não podendo este Tribunal conhecer de matérias nelas não incluídas, a não ser que as mesmas sejam de conhecimento oficioso – artigos 635.º, n.º 4 e 639.º, n.ºs 1 e 3 do Código de Processo Civil

No caso vertente, em face das conclusões do recurso, a questão a apreciar é a de determinar se o comportamento da Autora se pode subsumir ao conceito de negligência grosseira.



III. FUNDAMENTAÇÃO

**


A. OS FACTOS

Na sentença em crise foram fixados os seguintes factos:

FACTOS PROVADOS

1. A Autora é titular da conta bancária n.º ...00 sediada na Banco 1..., S.A., aqui Ré que, por seu turno, é uma instituição de crédito.

2. Autora e Ré assinaram documento intitulado “Contrato de adesão ao Serviço ... directa/C....directa Teen”, associando-lhe o número de telefone da Autora, ...44.

3. No documento intitulado “Condições Gerais de Abertura de Conta e Prestação de Serviços – Pessoas Singulares”, lê-se, designadamente, o seguinte:

“Cláusula 44.ª – Definição

O …directa é um serviço de banca digital que consiste na faculdade conferida ao titular de realizar consultas e operações bancárias relativamente a contas de depósito de dinheiro e contas de ativos financeiros de que seja único titular, cotitular ou autorizado em conta de menor e que possa movimentar livremente, através das seguintes vias de acesso: telefone; Internet; internet móvel; SMS; APP ou outras formas de acesso que venham a ser definidas pela Banco 1.

(…)

Cláusula 48.ª - Segurança dos elementos de identificação e de validação

1. Os elementos de identificação e de validação são pessoais e intransmissíveis, devendo apenas ser do exclusivo conhecimento do titular.

2. O titular obriga-se a garantir a segurança dos elementos de identificação e de validação, bem como a sua utilização estritamente pessoal e intransmissível, designadamente:

a) Não entregando nem permitindo a sua utilização por terceiro, ainda que seu procurador ou mandatário;

b) Não os revelando nem, por qualquer forma, os tornando acessíveis ao conhecimento de terceiros; salvo se este tiver previamente comunicado à Banco 1, qualquer situação de utilização não autorizada do Banco 1directa por terceiro

(…)

Cláusula 54.ª – Recomendações de segurança

O titular deverá respeitar as recomendações e orientações de segurança relativas à utilização do …directa, e, em especial, quando admissíveis, as aplicáveis aos pagamentos a realizar através da Internet, incluindo as que lhe são disponibilizadas previamente à subscrição da proposta de adesão ao …directa, bem como as que, em cada momento, lhe forem divulgadas pela Banco 1.».

4. A Autora tinha acesso ao serviço de homebanking disponibilizado pela Ré, designado por ...Direta, para o qual, para aceder, se exige um número de acesso

- no caso, o número de contrato, composto por 7 dígitos - e um PIN, um código pessoal e intransmissível composto por 4 dígitos.

5. No dia 03-11-2023, a Autora rececionou um SMS, cujo teor se desconhece, com um link, cujo endereço se desconhece, alegando a existência de um dispositivo suspeito associado à sua conta, com o intuito de a levar a clicar e a facultar os dados de acesso ao serviço ...Direta e o contacto telefónico, o que fez.

6. No dia 05-11-2023, cerca das 11 horas e 10 minutos, a Autora recebeu uma chamada telefónica proveniente do número oficial da Banco 1... (...90), com que habitualmente contacta telefonicamente, comunicando-lhe que a quantia de 7.500,00€ (sete mil e quinhentos euros) que se encontrava depositada na sua conta a prazo, tinha sido transferida para a sua conta à ordem, questionando-a se teria sido ela a proceder a tal.

7. O número de telefone oficial da Ré para contacto com os clientes é o ...90.

8. No decurso do mesmo contacto telefónico, o interlocutor, que se apresentou como funcionário da Ré, e que procedeu previamente à confirmação de todos os dados pessoais da Autora, informou que estaria a tratar dessa reversão/anulação, mas que, para tal, a Autora iria receber de seguida uns códigos via SMS, que seriam necessários para concluir aquele pedido de anulação da dita transferência.

9. A Autora recebeu no seu telemóvel pessoal os SMS com os códigos e disse-os, ainda no decurso da chamada telefónica, ao interlocutor.

10. A Autora disse ao interlocutor os códigos que tinha recebido, acreditando que seria para cancelar aquela operação, tendo aquele “funcionário”, após receber o código, “comunicado” que já havia concluído a operação de anulação da transferência e que de seguida receberia o comprovativo de tal anulação.

11. Acreditando que se encontrava a realizar um procedimento de cancelamento de fraude, a Autora recebeu SMS (short message service), no seu telemóvel e para o seu número de contacto, na página de conversação com a Ré com o seguinte teor: «Para confirmar Ferir Dispositivos – Eliminar, introduza o código ...79.».

12. A Autora disse ao terceiro com quem, no momento, conversava telefonicamente, o código SMS Token ‘...79’ que permitiu a este associar a conta bancária da Autora a um outro aparelho eletrónico não concretamente apurado, mas que se encontraria na posse do interlocutor.

13. Ainda através daquele contacto telefónico, a Autora recebeu mensagem do seguinte teor «Para confirmar a transferência para a conta ...00 no valor de 7.500,00 EUR, introduza o código ...81.».

14. A Autora, que recebeu aquela mensagem no seu telemóvel, cedeu a terceiro o código SMS Token ‘...81’ permitindo a realização de operação interna de transferência de 7.500,00€ da sua conta a prazo para a sua conta a ordem.

15. Às 11 horas e 33 minutos, a Autora, sempre acreditando que se encontrava a conversar com um responsável da Ré tendo em vista o cancelamento da transferência forneceu, sempre através desse contacto telefónico, o seu NIF e três coordenadas do cartão matriz, permitindo, assim, a ativação do cartão matriz.

16. Às 11 horas e 35 minutos, foi efetuada a transferência de 5.000,00€ da conta à ordem da Autora para a conta identificada pelo IBAN ...21, sediada na Ré e titulada por BB.

17. Sempre acreditando que se encontrava a conversar com um responsável da Ré tendo em vista o cancelamento da transferência naquele montante, a Autora forneceu três coordenadas do cartão matriz e forneceu o código ‘...51’ que recebeu, no seu telemóvel, através de SMS Token com o seguinte teor: «Para confirmar a transferência para a conta ...21 no valor de 5.000,00 EUR, introduza o código ...51. Não o partilhe com ninguém.».

18. Os SMS Token referem expressamente que os códigos se destinam à confirmação dos atos bancários nele explicitados.

19. Como se tratava de uma transferência no valor de 5.000,00€, a mesma só se pôde realizar através de 3 (três) fatores de autenticação: o acesso à conta bancária (através do nome de utilizador e do PIN de acesso); a inserção do código transmitido via SMS Token e; a inserção de três números correspondentes a coordenadas do cartão matriz.

20. Assim, contrariamente à informação que lhe estava a ser telefonicamente prestada, logo que a Autora disse os códigos interlocutor, em vez de ver cancelada a operação, foi debitado na sua conta de depósitos à ordem acima identificada 5.000,00€ (cinco mil euros).

21. A Autora, em contacto com a Ré, explicou todo o sucedido e as circunstâncias em que havia recebido os telefonemas, o facto do número de telefone que aparecia no “ecrã” do seu telemóvel corresponder ao número da própria Banco 1..., pelo que concluiu tratar-se de um processo fraudulento perpetrado por desconhecidos.

22. A Autora apresentou queixa-crime contra desconhecidos.

23. Ainda antes de a Autora ter relatado o ocorrido à Ré, a quantia transferida foi movimentada mediante 3 levantamentos de 900,00€ e um de 300,00€ e uma transferência bancária de 2.000,00€ concretizadas às 11 horas e 41 minutos, 6 minutos depois da transferência da conta titulada pela Autora que se refere em 16.

24. A Autora jamais quis realizar aquelas operações bancárias, apenas tendo atuado da forma descrita nos factos precedentes por acreditar ser um responsável da Ré a realizar o telefonema.

25. No dia 5 de novembro de 2023 não ocorreram quaisquer deficiências técnicas nos serviços informáticos disponibilizados pela Ré.

26. A Ré, desde data não concretamente apurada, mas seguramente anterior a novembro de 2023, disponibiliza diversos alertas de segurança no seu site institucional quer no acesso à aplicação de homebanking e envia mensagens através do ...Direta e notificações na aplicação, visando alertar para a existência de fraudes, dando recomendações de segurança e divulgando o modus operandi dos burlões.

Os alertas disponibilizados pela Ré correspondem às seguintes imagens consoante a plataforma utilizada pelo utilizador:
























FACTOS NÃO PROVADOS:

A. A Ré utiliza vários níveis de firewall com tecnologias de diferentes fabricantes; sistemas de prevenção intrusão monitorizados 24 horas por dia, 7 dias por semana, sistemas de antivírus e antispam; utilização de plataformas redundantes com tolerância a falhas.

B. O DIREITO


Tendo em consideração que a recorrente não colocou em causa a matéria de facto, haverá apenas que aquilatar da bondade da subsunção, daquela, à lei.

Em face do pedido da Autora facilmente concluímos que a relação entre as partes se situa no âmbito da responsabilidade contratual, mas com aplicação de um regime especial previsto no DL 91/2018, de 12 de Novembro (Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica) que corresponde à transposição da Directiva PSD2 para o ordenamento jurídico português.

A PSD2 é uma Directiva da União Europeia cujo principal objectivo é promover a inovação dos serviços de pagamento, melhorar a segurança na utilização de sistemas de pagamento e reforçar a protecção dos Clientes.

Como bem se diz na decisão em crise, o negócio jurídico subjacente, que não foi posto em causa pelas partes é um “contrato de abertura de conta pela Autora na sociedade Ré com o consequente depósito bancário e, associado a este, surge um contrato acessório, cada vez mais usual na sociedade contemporânea que se caracteriza pelo serviço de homebanking. Em suma, ao usual depósito do dinheiro pelo utilizador na instituição bancária, com todos os direitos e deveres daí decorrentes, associa-se um serviço que permite a consulta, a realização de pagamentos, de transferências, entre outras operações tipicamente bancárias, as quais se fazem através de um portal (página online ou através da aplicação disponibilizada para o efeito) em que se permite ao utilizador praticar todas estas operações digitalmente, recorrendo a meios informáticos, o que usualmente se designa por homebanking e permite, naturalmente, uma agilização de todas aquelas operações, possibilitando-as, então, em qualquer circunstância de tempo e lugar.”.

Nos termos do disposto no Artigo 113.º do DL 91/2018 com a epígrafe “Prova de autenticação e execução da operação de pagamento”: (…) 3 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º 4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.

Nas situações previstas neste normativo, o prestador de serviços tem que demonstrar que a operação foi autorizada pelo ordenante, que houve fraude ou dolo ou negligência grosseira por parte deste.

Fez a Ré prova de que a Autora, cliente da Instituição bancária, actuou de forma grosseiramente negligente?

Afastamos, desde já, a fraude e o dolo, que não foram, sequer, equacionados.

O cerne da questão e o dissenso entre as partes prende-se, exactamente, com o preenchimento (como diz a Recorrente) ou não (como alega a Recorrida) daquele conceito.

Negligência grosseira é mais do que uma simples negligência, imprudência ou distracção - significa um comportamento com um alto grau de desleixo e incúria e abrange situações em que a conduta do utilizador não apenas viola um dever de diligência básico, mas mostra uma inobservância clara e injustificável das regras mais elementares de cuidado - comparada com o comportamento do comum das pessoas, mesmo das menos diligentes - e que ultrapassa o que se exige a um utilizador médio.

Perante uma situação concreta levada a tribunal, há que analisar se o utilizador revelou códigos ou credenciais a terceiros, se ignorou alertas evidentes de fraude (mensagens com erros ortográficos), se guardou PIN e cartão juntos, se actuou de forma que um utilizador médio claramente evitaria.

O que aconteceu no caso em apreço?

5. No dia 03-11-2023, a Autora rececionou um SMS, cujo teor se desconhece, com um link, cujo endereço se desconhece, alegando a existência de um dispositivo suspeito associado à sua conta, com o intuito de a levar a clicar e a facultar os dados de acesso ao serviço ...Direta e o contacto telefónico, o que fez.
6. No dia 05-11-2023, cerca das 11 horas e 10 minutos, a Autora recebeu uma chamada telefónica proveniente do número oficial da Banco 1... (...90), com que habitualmente contacta telefonicamente, comunicando-lhe que a quantia de 7.500,00€ (sete mil e quinhentos euros) que se encontrava depositada na sua conta a prazo, tinha sido transferida para a sua conta à ordem, questionando-a se teria sido ela a proceder a tal.

7. O número de telefone oficial da Ré para contacto com os clientes é o ...90.

8. No decurso do mesmo contacto telefónico, o interlocutor, que se apresentou como funcionário da Ré, e que procedeu previamente à confirmação de todos os dados pessoais da Autora, informou que estaria a tratar dessa reversão/anulação, mas que, para tal, a Autora iria receber de seguida uns códigos via SMS, que seriam necessários para concluir aquele pedido de anulação da dita transferência.

9. A Autora recebeu no seu telemóvel pessoal os SMS com os códigos e disse-os, ainda no decurso da chamada telefónica, ao interlocutor.

10. A Autora disse ao interlocutor os códigos que tinha recebido, acreditando que seria para cancelar aquela operação, tendo aquele “funcionário”, após receber o código, “comunicado” que já havia concluído a operação de anulação da transferência e que de seguida receberia o comprovativo de tal anulação.

11. Acreditando que se encontrava a realizar um procedimento de cancelamento de fraude, a Autora recebeu SMS (short message service), no seu telemóvel e para o seu número de contacto, na página de conversação com a Ré com o seguinte teor: «Para confirmar Ferir Dispositivos – Eliminar, introduza o código ...79.».

12. A Autora disse ao terceiro com quem, no momento, conversava telefonicamente, o código SMS Token ‘...79’ que permitiu a este associar a conta bancária da Autora a um outro aparelho eletrónico não concretamente apurado, mas que se encontraria na posse do interlocutor.

13. Ainda através daquele contacto telefónico, a Autora recebeu mensagem do seguinte teor «Para confirmar a transferência para a conta ...00 no valor de 7.500,00 EUR, introduza o código ...81.».

14. A Autora, que recebeu aquela mensagem no seu telemóvel, cedeu a terceiro o código SMS Token ‘...81’ permitindo a realização de operação interna de transferência de 7.500,00€ da sua conta a prazo para a sua conta a ordem.

15. Às 11 horas e 33 minutos, a Autora, sempre acreditando que se encontrava a conversar com um responsável da Ré tendo em vista o cancelamento da transferência forneceu, sempre através desse contacto telefónico, o seu NIF e três coordenadas do cartão matriz, permitindo, assim, a ativação do cartão matriz.

16. Às 11 horas e 35 minutos, foi efetuada a transferência de 5.000,00€ da conta à ordem da Autora para a conta identificada pelo IBAN ...21, sediada na Ré e titulada por BB.

17. Sempre acreditando que se encontrava a conversar com um responsável da Ré tendo em vista o cancelamento da transferência naquele montante, a Autora forneceu três coordenadas do cartão matriz e forneceu o código ‘...51’ que recebeu, no seu telemóvel, através de SMS Token com o seguinte teor: «Para confirmar a transferência para a conta ...21 no valor de 5.000,00 EUR, introduza o código ...51. Não o partilhe com ninguém.».

No que toca à primeira conduta da Autora, pese embora não termos o SMS, a mesma foi totalmente contrária aos avisos da Ré de não clicar em links.

À partida, podíamos ver aqui uma atitude de uma certa incúria.

De seguida, a Autora é contactada telefonicamente - o número que aparece no seu ecrã do telemóvel é o número oficial da R e com o qual contacta habitualmente - seguindo-se todos os factos apurados supra: o alegado funcionário da Banco 1... comunica à Autora que a quantia de 7.500,00€ (sete mil e quinhentos euros) que se encontrava depositada na sua conta a prazo, tinha sido transferida para a sua conta à ordem, questionando-a se teria sido ela a proceder a tal, procedeu previamente à confirmação de todos os dados pessoais da Autora, informou que estaria a tratar dessa reversão/anulação, mas que, para tal, a Autora iria receber de seguida uns códigos via SMS, que seriam necessários para concluir aquele pedido de anulação da dita transferência. A Autora recebeu no seu telemóvel pessoal os SMS com os códigos e disse-os, ainda no decurso da chamada telefónica, ao interlocutor. A Autora disse ao interlocutor os códigos que tinha recebido, acreditando que seria para cancelar aquela operação, tendo aquele “funcionário”, após receber o código, “comunicado” que já havia concluído a operação de anulação da transferência e que de seguida receberia o comprovativo de tal anulação. Acreditando que se encontrava a realizar um procedimento de cancelamento de fraude, a Autora recebeu SMS (short message service), no seu telemóvel e para o seu número de contacto, na página de conversação com a Ré com o seguinte teor: «Para confirmar Ferir Dispositivos – Eliminar, introduza o código ...79.». A Autora disse ao terceiro com quem, no momento, conversava telefonicamente, o código SMS Token ‘...79’ que permitiu a este associar a conta bancária da Autora a um outro aparelho eletrónico não concretamente apurado, mas que se encontraria na posse do interlocutor. Ainda através daquele contacto telefónico, a Autora recebeu mensagem do seguinte teor «Para confirmar a transferência para a conta ...00 no valor de 7.500,00 EUR, introduza o código ...81.». A Autora, que recebeu aquela mensagem no seu telemóvel, cedeu a terceiro o código SMS Token ‘...81’ permitindo a realização de operação interna de transferência de 7.500,00€ da sua conta a prazo para a sua conta a ordem. Às 11 horas e 33 minutos, a Autora, sempre acreditando que se encontrava a conversar com um responsável da Ré tendo em vista o cancelamento da transferência forneceu, sempre através desse contacto telefónico, o seu NIF e três coordenadas do cartão matriz, permitindo, assim, a ativação do cartão matriz. .Às 11 horas e 35 minutos, foi efetuada a transferência de 5.000,00€ da conta à ordem da Autora para a conta identificada pelo IBAN ...21, sediada na Ré e titulada por BB. Sempre acreditando que se encontrava a conversar com um responsável da Ré tendo em vista o cancelamento da transferência naquele montante, a Autora forneceu três coordenadas do cartão matriz e forneceu o código ‘...51’ que recebeu, no seu telemóvel, através de SMS Token com o seguinte teor: «Para confirmar a transferência para a conta ...21 no valor de 5.000,00 EUR, introduza o código ...51. Não o partilhe com ninguém.».

Aquele telefonema efectuado, aparentemente, com o número habitual de contacto da Ré, muda a configuração da situação.

Estamos perante um ataque sofisticado, muito credível que nos permite afirmar que qualquer utilizador médio, não o utilizador ideal, naquela situação, agiria de igual forma.

O ataque cibernético em causa tem a designação de Spoofing - os criminosos disfarçam-se de fontes confiáveis (como bancos, empresas ou pessoas conhecidas) para enganar vítimas, roubar dados pessoais, dinheiro ou espalhar malware, falsificando remetentes de e-mails, números de telefone (Caller ID), endereços IP, sites ou até sinais de GPS para obter acesso e confiança, resultando em fraudes e burlas.

Este ataque funciona da seguinte forma. O atacante mascara a sua verdadeira identidade, fazendo parecer que a comunicação vem de um local seguro ou conhecido, usando tácticas psicológicas para manipular a vítima a revelar informações ou realizar acções.

Podem ser usados vários métodos - Pode ser feito por e-mail (email spoofing ), chamadas (Caller ID spoofing), IPs (IP spoofing), sites (website spoofing) ou GPS (GPS spoofing).

No caso foi usado especificamente o Caller ID Spoofing - chamadas de números que parecem locais ou conhecidos, mas são golpistas.

Não vamos ao ponto de dizer, como na sentença em crise, que “para se entender que a negligência é grosseira teria que se concluir que, pelos factos em concreto, ninguém teria agido como a Autora agiu.”

Aliás, nem é esse o conceito que a Lei e a Jurisprudência têm adoptado para concluírem, ou não, pela existência de negligência grosseira.

A este propósito, cfr. Tribunal da Relação de Lisboa Processo nº 15407/23.7T8LSB.L1-8 Relator: Carla Figueiredo Sessão: 19 Dezembro 2024 “Sumário (artigo 663º nº 7 do Código do Processo Civil): - Nos casos em que ocorram prejuízos em resultado de operações não autorizadas antes da notificação ao banco que providencia o serviço ou instrumento de pagamento através de meios eletrónicos, o comportamento do utilizador do serviço de homebanking deve ser apreciado para aferir quem irá suportar as perdas resultantes de operações fraudulentas; - Nas situações de negligência grosseira do utilizador do serviço, é este quem suporta as perdas resultantes das operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a €50,00 – art.º 115º, nº 4 do RJSPME, cabendo à instituição bancária o ónus dessa prova; - O conceito de negligência grosseira é aferido nos termos aplicáveis à responsabilidade civil (art.º 487º, nº 2 do CC); - Existirá negligência grosseira quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de cuidado e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes; - Se a Autora, apesar de ser uma utilizadora habitual dos canais digitais do Réu, acabou por fornecer os códigos do cartão matriz e de validação das transferências que estavam a ser operadas sem qualquer justificação plausível sendo que, em cada SMS que recebia do Réu, era referida a operação em curso, o respectivo montante e código de validação, a sua incúria é patente e contrária ao que seria de esperar de um utilizador comum deste tipo de serviço, pelo que agiu com negligência grosseira, tendo sido esta condição do esta condição necessária e adequada para a ocorrência das operações que determinaram as saídas de dinheiro da sua conta, no valor total de € 5.019,00.”

Ver ainda Acórdão da Relação do Porto de 16.03.2023, tirado no processo 659/22.8T8PNF.P1, Relator Rodrigues Pires (Adjunto nos presentes autos): I - O Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica atualmente em vigor é o que decorre do Dec. Lei nº 91/2018, de 12.11.; II - Uma das técnicas mais frequentemente utilizadas por terceiros para aceder, fraudulentamente, à conta de um cliente utilizador do serviço de homebanking é o phishing que consiste no envio de mensagens de correio eletrónico, aparentemente provenientes do banco prestador do serviço, visando a obtenção de dados confidenciais que permitam o acesso àquela conta; III - A entidade bancária só não será responsabilizada pelas perdas, sofridas pelo cliente, decorrentes de operações fraudulentas sobre a conta deste, no âmbito do homebanking, se alegar e provar que o dano resultou de atuação dolosa ou grosseiramente negligente do utilizador do serviço; IV - Não age de forma grosseiramente negligente o utilizador de conta bancária que, no âmbito do homebanking, fornece os seus dados confidenciais na sequência do recebimento de um SMS, que tudo indicava ser proveniente da respetiva entidade bancária, pelo mesmo canal emissor através do qual já tinha recebido outros SMS´s todos fidedignos, a que acresce o facto de a página web a que depois acede aparentar ser a dessa entidade bancária, por se mostrar idêntica à sua página oficial.”


**

Concluindo, e porque entendemos nada mais ter a acrescentar à sentença em crise, que está muito bem fundamentada, resta julgar improcedente o recurso, confirmando aquela mesma decisão, fazendo um esclarecimento no que toca à condenação em juros.

Consta da decisão que “deve ainda a Ré o montante devido a título de juros de mora vencidos e vincendos, calculados desde 06-11-2023, por ser o dia seguinte à data dos factos e à denúncia da Autora, até efetivo e integral pagamento calculados à taxa legal de 14% ao dia, correspondente a 4% da taxa legal, cfr. artigo 559.º do Código Civil e Portaria n.º 291/03, de 08 de abril, conjugado com o artigo 114.º, n.º 10, do Decreto-Lei n.º 91/2018, de 12 de novembro.”

Em Portugal, a taxa de juro legal aplicável (para dívidas pecuniárias civis ou comerciais que não tenham um regime especial) é determinada por portaria governamental, publicada anualmente no Diário da República.

Os juros legais são fixados numa taxa anual – cfr. art 1.º Portaria n.º 291/2003 de 8 de Abril “A taxa anual dos juros legais e dos estipulados sem determinação de taxa ou quantitativo é fixada em 4%.”

A taxa é expressa como uma percentagem por ano, e a sua aplicação diária é calculada com base nesse valor anual (dividindo a taxa anual por 365 dias para obter a taxa diária, que depois é multiplicada pelo número de dias em dívida).

Não obstante os juros serem calculados ao dia, a taxa é anual, o que deverá ter-se em consideração.

IV. DECISAO

Pelo exposto, acordam os juízes desta Secção Cível do Tribunal da Relação do Porto em negar provimento ao recurso, mantendo a sentença recorrida.

Custas pela recorrente.

DN.

Porto, 16 de Janeiro de 2026

(Elaborado e revisto pela relatora, revisto pelos signatários e com assinatura digital de todos)

Por expressa opção da relatora, não se segue o Acordo Ortográfico de 1990.

Raquel Correia Lima (Relatora)

Rodrigues Pires (1º Adjunto)

Alexandra Pelayo (2º Adjunto)