Nas situações de homebanking, verificadas perdas sofridas pelo cliente em resultado de operações fraudulentas sobre a conta deste, incumbe à entidade bancária alegar e demonstrar a atuação dolosa ou grosseiramente negligente do cliente, utilizador daquele serviço, afim de afastar a sua responsabilidade pelas mesmas.

Acordam na 3ª Secção do Tribunal da Relação de Guimarães

I. Relatório:

AA, melhor identificada nos autos, intentou a presente acção declarativa sob a forma de processo comum, contra BB e Banco 1..., , S.A., melhor identificados nos autos, peticionando, a condenação solidária dos réus a reembolsar a autora no montante de € 14.171,80 (catorze mil cento e setenta e um euros e oitenta cêntimos) e a co-ré Banco 1... condenada individualmente no montante de € 5.904,91, relativo ao acréscimo ao juro legal de 10%, calculados sobre o montante de € 11.809,83.
Alega, em síntese, que é titular de duas contas bancárias à ordem na 2ª ré, sendo ainda detentora nessa mesma instituição bancária de um depósito a prazo, denominado Banco 1..., no montante de € 19.000,00, o qual se encontra associado a uma das contas à ordem. Mais, alega que aderiu ao serviço Canal ... (homebanking), ao qual passou a aceder através de um PIN e o cartão matriz, designadamente para realizar operações sobre as contas de que fosse titular.
Sucede que, em data não concretamente apurada, o 1º réu e/ou terceiro com ele conluiado, acederam, via internet, ao computador utilizado pela autora, onde criaram um site em tudo semelhante ao site do serviço internet “homebanking ...”, sendo que, no dia 16 de março de 2016, a autora procurou aceder ao serviço homebanking, e ao contrário do por si pretendido, sem o seu conhecimento e consentimento, foi direcionada para o site criado falsamente, onde lhe foram pedidas as coordenadas do seu cartão matriz que a autora introduziu. Dessa forma, o 1º réu e/ou terceiros não identificados lograram aceder ao serviço “homebanking ...” da co-ré e movimentar as contas bancárias da autora, pelo montante total de € 11.809,83.
A autora teve conhecimento da burla informática no dia 17 de março de 2016, através de um contacto telefónico recebido do banco, e nesse mesmo dia redigiu uma comunicação ao gerente do balcão de ... da 2ª ré, reportando, ainda, o sucedido ao Banco de Portugal.

Citado, o Banco réu deduziu contestação, defendendo-se por excepção e por impugnação.
Invocou a excepção de ilegitimidade da autora, por preterição de litisconsórcio necessário activo, alegando, que uma contas bancárias é titulada pela autora e por CC, pelo que se presume que os saldos bancários nela depositados são de ambos os titulares, em partes iguais, pelo que a acção requer a intervenção de ambos os titulares da conta.
No mais, alega que o seu sistema não foi alvo de qualquer ataque informático, falha de segurança, ou executou, de forma incorrecta as ordens validamente inseridas. Os equipamentos informáticos da autora é que foram alvo de um ataque informático orquestrado pelo 1º réu e no seguimento de tal ataque a autora forneceu as suas credenciais, através da introdução as coordenadas do cartão matriz, contra as instruções de segurança do Banco.

O 1º réu foi citado editalmente, tendo posteriormente sido citado o Ministério Público que não deduziu oposição.

Notificada a autora para responder à excepção de ilegitimidade invocada pelo 2º réu, pugnou pela sua improcedência.

Findos os articulados, foi proferido despacho saneador que conheceu da excepção de ilegitimidade activa, julgando-a improcedente, proferindo-se despacho que fixou o objecto do litígio e enunciou os temas de prova.
           
Realizada a audiência de julgamento foi proferida sentença que decidiu julgar a presente acção parcialmente procedente e, em consequência condenar o 2º réu a reembolsar a autora da quantia de € 11.809,83 (onze mil oitocentos e nove euros e oitenta e três cêntimos), acrescida de juros de mora à taxa legal, acrescida de uma sobretaxa de 10%, reportados aos últimos 5 anos, por referência à data da instauração da acção, os quais ascendiam, nessa data, ao montante de € 8.271,41 (oito mil duzentos e setenta e um euros e quarenta e um cêntimos), absolvendo o 1º réu do pedido, sendo as custas pelo 2º réu, nos termos dos nºs 1 e 2 do artº 527º, do CPC.

Inconformada com a decisão veio o 2º réu da mesma recorrer, formulando as seguintes conclusões:

I.
O ponto central do recurso interposto pelo Banco 1..., quanto à matéria de facto, assenta em saber se da prova produzida, a conduta da Autora é caracterizadora de negligência grave na salvaguarda das credências do homebanking.
II.
E, no âmbito da aplicação do direito, assenta em saber se o Tribunal a quo aplicou cabalmente o conceito de negligência grave, à luz do disposto no número 4 do artigo 115.º do RJPME.
Quanto à matéria de facto,
III.
O Tribunal a quo motiva a sua decisão alegando que o Banco 1... não produziu qualquer prova relativa aos avisos de segurança existentes no seu sítio da internet à data dos factos, que o cartão matriz não disponha de qualquer aviso de segurança e que não alegou que a Autora cedeu todas as credenciais.
IV.
Julgando incorretamente o facto k) da matéria dada como provada, os factos e), f), g), h), i), j), k), l) e m) da matéria dada como não provada e desconsiderou a prova produzida que levaria a concluir que resulta provado que:
a) O Banco 1... apenas solicita duas posições do cartão matriz de forma aleatória para validar operações para fora do património do cliente;
b) O Banco 1... não solicita posições do cartão matriz para efetuar consultas às contas;
c) O Banco 1... não solicita atualizações de segurança que requeiram a colocação de coordenadas do cartão matriz;
V.
Quanto ao facto n) da matéria dada como provada, consideramos que apenas existe um lapso de escrita, porquanto consta uma remissão para a própria alínea quando o Tribunal a quo se referia à alínea m). Correção que se requer nos termos do disposto no número 2 do artigo 613.º do CPC.
VI.
Quanto ao facto k) da matéria dada como provada e aos factos f), g), h), i), j), k), l) e m) da matéria dada como não provada, relacionados com os procedimentos de segurança e informação constante no sítio da internet da Recorrida, consideramos que se encontram incorretamente julgados.
VII.
O Tribunal a quo desconsiderou que a Recorrente descreveu no seu articulado – artigos 34.º a 43.º da contestação – todos os avisos de segurança e de prevenção de fraude existentes no seu sítio da internet, cabalmente documentada pela junção dos documentos n.º 5 a 9.
VIII.
Nem os artigos nem os documentos foram impugnados pela Autora nos termos do disposto nos artigos 444.º e 446.º do CPC.
IX.
Estando em causa reproduções mecânicas constantes no arquivo público de sítios da internet gerido pela Fundação para a Ciência e a Tecnologia fazem prova plena dos factos alegados, nos termos do artigo 368.º do CC, uma vez que a Autora não impugnou a sua exatidão.
X.
Sem prejuízo do efeito legal da falta de impugnação dos documentos, o Tribunal a quo fez uma incorreta leitura do teor dos documentos ao considerar que a data constante no rodapé era lida no sentido de que os avisos de segurança apenas estavam visíveis em novembro de 2016 quando, na realidade demonstra que a última atualização do sítio institucional da Ré, no ano de 2016, ocorreu em novembro.
XI.
Desconsiderando, em absoluto, o efeito processual presente nas disposições conjugadas do citado artigo 368.º CC e dos artigos 444.º e 446.º. à contrário sensu, do CPC, que fazem recair sobre a Autora o ónus de produzir prova que contrarie a alegação da Ré.
XII.
Mas a prova testemunhal acompanhou o sentido dos documentos carreados aos autos, designadamente o depoimento das testemunhas DD [00:06:10 – 00:07:46] e EE [00:10:43 – 00:11:49; 00:21:55-00:22:07].
XIII.
É público e notório9, nos termos do disposto no artigo 412.º do CPC que o Regulador Banco de Portugal impôs a separação das imagens institucionais do Banco 1... e da Associação .... E nos documentos carreados ainda é possível verificar que a imagem da Recorrente é diferente da atual, pelo que demonstra que não se reportam a documentos presentes na atualidade, mas na versão do site constante à data dos factos.
XIV.
Reitere-se a realidade que não é controvertida, uma vez que a Autora não impugnou estes documentos nem o seu alcance, porquanto bem sabe que corresponde à verdade que a Recorrente dispunha, à data dos factos, de informação sobre o meio de pagamento, dicas de utilização, avisos de segurança e exemplos de tentativas de fraude no seu sítio da internet.
XV.
O Tribunal a quo fez uma incorreta apreciação da documentação, o que não só denota um erro de julgamento como uma violação do disposto no artigo 368.º do CC e dos artigos 444.º e 446.º do CPC bem como do princípio do dispositivo constante no artigo 264.º do CPC.
XVI.
Incorreu o Tribunal a quo em erro de julgamento dos factos k) dos factos provados. Uma vez que deveria ter dado como provado que a 2.º Ré disponibilizava, à data dos factos, como disponibiliza atualmente, informação relativa aos procedimentos de segurança e de utilização do seu site de internet e no sistema ....
9Vide:...; ...;.../;....
XVII.
Em igual erro de julgamento os factos f), g), h), i), j), k), l), m) da matéria dada como não provada deveriam ter sido considerados factos provados.
Continuando,
XVIII.
O facto e) da matéria dada como não provada foi incorretamente julgado, na medida em que resulta provado que o Banco 1... explicou à Autora todos os procedimentos de segurança e de utilização do homebanking no momento da sua contratação.
XIX.
Existindo na sentença em crise uma contradição ente os factos a), h), i), l), z), aa), bb), cc), dd), ee), ff) e gg) da matéria dada como provada e o facto e) da matéria dada como não provada na medida em que o Tribunal a quo começa, e bem, por considerar como provado que a Autora aderiu ao meio de pagamento em 27/08/2007, e que nessa medida lhe foram transmitidos os elementos de acesso e movimentação de contas que passou a utilizar, obrigando-se na sua salvaguarda.
XX.
Reconhece que aceitou os termos e condições do serviço, onde estão descritos os elementos de segurança, e que faz uma utilização do meio de pagamento desde 2007. Mas conclui que nada lhe foi explicado. Ora, como poderia a Autora utilizar o serviço durante 9 anos se não sabia como utilizar o meio de pagamento?
XXI.
O Tribunal a quo desconsiderou em absoluto o depoimento das testemunhas que conformaram que todos os clientes são informados dos procedimentos de segurança no momento da contratação, designadamente a testemunha DD [00:06:10], EE [00:08:54 – 00:09:43] incluindo o depoimento da testemunha FF que em 2007 atribuiu o acesso ao homebanking à Autora. [00:01:32 – 00:04:37; 00:05:46; 00:07:34]
XXII.
A testemunha FF assegura que o seu procedimento é explicar o funcionamento do homebanking a todos os clientes, será desculpável que volvidos 18 anos [desde 2007 até à data do julgamento] que não consiga reproduzir textualmente o que disse a Autora. Confirmando, contudo, a sua conduta, igual em todos os casos de adesão.
XXIII.
Indo ao encontro do próprio teor do depoimento de parte da Autora, em sede de depoimento de parte, que confirmou que o seu gestor[a] lhe explicou tudo. Isto quando questionada pela Meritíssima Juíza a quo sobre os procedimentos de segurança que tinha de observar. [00:15:18– 00:15:27]
XXIV.
É a própria Autora que confessa o facto, pelo que considera a Recorrente que mal andou o Tribunal a quo ao considerar o facto e) como não provado quando resulta da prova produzida que quando a Autora subscreveu o serviço de homebanking foram-lhe explicados todos os procedimentos de segurança e de utilização do serviço.
Mais,
XXV.
O facto n) da matéria dada como não provada foi incorretamente julgamento pelo Tribunal a quo na medida em resulta da reprodução mecânica junta aos autos como Documento n.º 8 e 11 com a contestação que o cartão matriz do Banco 1... continha, à data dos factos, o aviso inscrito “Atenção: nunca indique mais do que 2 dígitos deste cartão matriz”.
XXVI.
Novamente, a Autora não impugnou a exatidão do documento nos termos e para os efeitos do disposto no artigo 368.º do CC com o efeito processual constante nos artigos 444.º e 446.º do CPC.
XXVII.
Sem prejuízo, a prova testemunhal acompanha o teor da prova documental, designadamente o depoimento da testemunha GG [00:15:31 – 00:15:44].
XXVIII.
Além do erro de julgamento quanto à apreciação da prova produzida por referência ao facto n) da matéria dada como não provada, tal decisão viola o disposto no artigo 444.º e 446.º, à contrário sensu, do CPC. Entende a Recorrente que o Tribunal a quo deveria ter dado como provado que o cartão matriz da Recorrente continha inscrito, à data dos factos, o aviso:
“Atenção: nunca indique mais do que 2 dígitos deste cartão matriz”.
Continuando,
XXIX.
Entende a Recorrente que da prova produzida o Tribunal a quo deveria ter considerado os seguintes factos como provados:
d) O Banco 1... apenas solicita duas posições do cartão matriz de forma aleatória para validar operações para fora do património do cliente;
e) O Banco 1... não solicita posições do cartão matriz para efetuar consultas às contas;
f) O Banco 1... não solicita reforços de segurança que requeiram a colocação de coordenadas do cartão matriz;
XXX.
Factos que resultam provados pela conjugação do documento n.º 4 junto com a petição inicial corroborado pelo documento n.º 7, 8, 9 e 1 1 juntos com a contestação e que não foram impugnados pela Autora.
XXXI.
Da análise dos referidos documentos resulta que o homebanking da Recorrente não solicitava coordenadas do cartão matriz para um utilizador efetuar uma simples consulta de saldos da conta. De igual forma, resulta dos documentos que tais coordenadas apenas eram solicitadas quando o utilizador pretendia fazer uma operação que resultasse a diminuição do seu património depositado e que nunca são solicitadas coordenadas com o intuito de reforçar o sistema de segurança.
XXXII.
Além do teor dos documentos carreados aos autos, tais factos foram corroborados pelo depoimento da testemunha GG [00:04:35 – 00:08:09; 00:15:54-00:15:55], pela testemunha EE [00:05:39 – 00:13:43] e pela testemunha FF [00:09:35 – 00:09:38; 00:15:31 – 00:16:18]. Indo ao encontro da matéria dos factos provados h), aa), bb), cc), dd) e ee).
Mais,
XXXIII.
O Tribunal a quo apreciou a mesma prova de forma contraditória entre os factos provados e não provados quando conjugados com a respetiva fundamentação.
XXXIV.
Na motivação da sentença em crise o Tribunal a quo refere que terceiros se apropriaram das credenciais de autenticação da Autora através da criação de um site fraudulento onde a Autora facultou as suas credenciais de autenticação – o que o Tribunal reconhece como provado.
XXXV.
Paralelamente, reconhece que os sistemas da Recorrente não foram alvo de ataque informático, nem as operações foram executadas no seguimento de algum erro ou deficiência técnica.
Concluindo que o seu sistema cuidou de acautelar os interesses dos seus clientes. [Facto d) da matéria dada como não provada]
XXXVI.
Adiante, o Tribunal imputa à Recorrente a falta de alegação de que a Autora forneceu todas as coordenadas do cartão matriz quando apenas alegou “as coordenadas do cartão matriz”.
XXXVII.
Contudo, o Documento n.º 12 junto com a contestação, e, por isso, parte integrante do respetivo articulado lê-se “No dia 16 do corrente mês, ao aceder à ..., após ter colocado o número de cliente, foi-me solicitado todas as coordenadas do cartão matriz, dizendo que era por uma questão de segurança”. Indo ao encontro do documento n.º 7 junto com a petição inicial.
XXXVIII.
Com o devido respeito, entende a Recorrente que a contestação não pode ser interpretada isoladamente, cumprirá analisar a posição da parte em função do que foi dito pela Autora, aceite e impugnado pela Ré, a matéria probatória constante nos documentos e os depoimentos prestados em sede de audiência de discussão e julgamento.
XXXIX.
O Tribunal a quo desconsidera ainda a força probatória dos documentos juntos pela Recorrente, a confissão vertida e releva uma parte do depoimento da Autora que não é merecedor de qualquer credibilidade na medida em que apenas vem dar o escrito por não dito.
XL.
Quando os próprios colegas de trabalho reconhecem o rigor e exatidão com que os escritos da Autora, conforme depoimento da testemunha HH [00:12:43 – 00:14:02; 00:19:13 – 00:20:05].
XLI.
Concluir, após um o raciocínio revelador de um comportamento que contraria a lógica de funcionamento do homebanking, afirma que o utilizador desatento, envolvido em tarefas pessoais e profissionais, não têm a obrigação de ter a mínima atenção ao que está a fazer.
Entendimento com o qual não podemos concordar.
Da matéria de direito,
XLII.
A Recorrente considera que o critério utilizado pelo Tribunal a quo para apurar a existência ou inexistência de negligência grave é injusto e conduziu a uma decisão que contraria o disposto no número 4 do artigo 115.º do RJPME.
XLIII.
Acompanhamos o critério plasmado na jurisprudência maioritária dos Tribunais da Relação que coloca o pendor na verificação de um comportamento com um grau de reprovação que alcance o mais elevado grau de desleixo e incúria.
XLIV.
Que se consubstancia num comportamento que nunca seria adotado pela generalidade dos utilizadores deste meio de pagamento quando colocados nas mesmas circunstâncias de facto.
XLV.
Assumindo particular relevo que o utilizador tenha presente, o que não pode ignorar, a lógica do sistema de segurança por detrás de um homebanking.
XLVI.
No caso concreto, não podia a Autora ignorar que para uma simples consulta não haveria de introduzir todas as coordenadas do seu cartão matriz. Pois por um lado sabia que o sistema apenas pedia, no máximo duas coordenadas, e por outro que as consultas não requerem qualquer tipo de introdução de coordenadas.
XLVII.
O Tribunal a quo utiliza o critério da “voluntariedade” para concluir: “(…) As operações realizadas através dos canais digitais estão presentes nas rotinas do cidadão comum que as executam, muitas vezes já com laivos de automaticidade, sem prestarem total atenção e vigilância, muitas vezes realizadas durante outros afazeres profissionais ou pessoais, sem total concentração e foco na execução da tarefe, como parece ter sido o caso, já que a Autora utilizava o computador do seu local de trabalho para realizar a operação pretendida. Dai que é muito natural, que nem sempre os utilizadores digitem no browser o endereço completo do banco(…) É perfeitamente compreensível que o utilizador nem sempre esteja atendo a todos os pormenores da página, e que possa ser ludibriado pelas semelhanças visíveis do que pelas dissemelhanças não facilmente detetáveis, e assim, ceda as suas credenciais, na convicção que as insere no site genuíno”.
XLVIII.
Critério utilizado pelos Tribunais superiores em situações de facto amplamente distintas do caso sub júdice.
XLIX.
Com o devido respeito ao mais comum dos cidadãos, é crível a ideia de que tem de ter zelo quando o assunto é dinheiro. Pelo que não é desculpável que esteja a fazer mil e uma coisas, desatento, quando esteja perante a movimentação da sua conta bancária. Pelo que não é natural que se olvide da experiência e senso comum, quando lhe são pedidos mais dados do que aqueles que habitualmente são solicitados para uma situação do mesmo tipo.
L.
Não poderá proceder o entendimento do Tribunal a quo, a maioria dos utilizadores revelariam as suas credenciais perante uma qualquer solicitação. Ora, a sentença em crise contraria em absoluto a tese defendida pelos acórdãos.
LI.
Mal andou o Tribunal a quo ao considerar que o Banco 1... alguma responsabilidade tem pelo facto de a Autora ter cedido a terceiros as suas credenciais, resultando numa decisão injusta que não deverá subsistir.

NESTES TERMOS, E NOS MELHORES DE DIREITO QUE V.EXAS. DOUTAMENTE SUPRIRÃO, DANDO PROVIMENTO AO RECURSO INTERPOSTO E EM CONSEQUÊNCIA REVOGANDO A SENTENÇA PROFERIDA PELO TRIBUNAL A QUO, SUBSTITUINDO-SE POR UMA OUTRA QUE, EM CONFORMIDADE COM O QUE É DE DIREITO E A BOA APLICAÇÃO DAS LEIS, ABSOLVA A APELANTE DA CONDENAÇÃO PROFERIDA, ASSIM FAZENDO V.EXAS., VENERANDOS DESEMBARGADORES DO TRIBUNAL DA RELAÇÃO DE GUIMARÃES,
JUSTIÇA!

Respondeu a autora ao recurso deduzido, formulando as seguintes conclusões:

a) contrariamente ao alegado pela recorrente, os documentos juntos à contestação sob os números 5 a 9 não têm qualquer relevância probatória em benefício da própria recorrente, porquanto foram emitidos em data posterior à ocorrência dos factos;
b) e foi por isso mesmo que não foram impugnados pela autora, ora recorrida, devendo, assim, prevalecer nos precisos termos que constam dos mesmos;
c) se, porventura, a recorrente não achasse relevante o teor desses documentos em sede de prevenção e cuidados a ter na utilização dos serviços proporcionados pela mesma, seguramente não seriam emitidos;
d) o tribunal “a quo” não desconsiderou minimamente tais documentos, tendo feito a leitura que de forma direta e linear resulta dos mesmos, realçando a data da sua emissão;
e) em face da prova documental carreada para os autos e da prova testemunhal produzida na audiência de julgamento, nenhum reparo merece o julgamento da matéria de facto;
f) o depoimento invocado pela recorrente relativamente à testemunha FF não respalda a sua pretensão, porquanto esta testemunha não foi categórica nem afirmativa com referência à autora no que diz respeito aos procedimentos a adotar nos serviços disponibilizados pela recorrente;
g) a autora efetivamente confessou que não teve fundadas suspeitas de se tratar de intrusão de terceiros, tal era a semelhança e verosimilhança da página clonada relativamente à original;
h) e tanto assim foi e deverá ser considerado que a insuspeita e experiente testemunha da recorrente, EE, reconheceu que terá havido alguma negligência por parte da autora, o que não é equiparável a negligência grave ou grosseira;
i) como muito bem é referido na douta sentença recorrida, “E tal aconteceu necessariamente porque tais páginas falsas continham semelhanças com o site verdadeiro, e se afiguravam fidedignas, e foram assim criadas, precisamente com o intuito de iludir os utilizadores que estavam a facultar os seus elementos de autenticação no site oficial do Banco.”;
j) competia à ré dotar o seu sistema de mecanismos redundantes de segurança, pois é ela própria que tem o domínio total dos equipamentos e soluções que disponibiliza aos seus clientes;
k) foi a ré que deu conhecimento à autora dos movimentos por esta não autorizados, conforme consta da alínea s) dos factos provados;
l) o que equivale a dizer que a ré dispunha de mecanismos de alarme de movimentos bancários suspeitos, após a sua concretização, pois de outro modo nada comunicaria à autora;
m) porém, não dispunha de mecanismo preventivo por forma a inviabilizar as movimentações bancárias suspeitas, com a agravante de uma das contas movimentadas constituir um depósito a prazo, conforme consta do facto provado sob a alínea d), que não é mobilizável com a facilidade do depósito à ordem;
n) recorrendo mais uma vez à douta sentença recorrida “Os Autores dos ataques, com elevados conhecimentos informáticos, à medida que vão sendo descobertos, aprimoram a sua técnica e astúcia, tornando cada vez mais credíveis as páginas criadas, por forma a assemelharem-se com o site genuíno o mais possível, de forma a criar nos utilizadores a convicção de que estão a inserir as suas credenciais no site original.”;
o) não obstante a verosimilhança com o site genuíno, os dados foram pedidos com a justificação de maior garantia de segurança na operação – facto provado sob a alínea o);
p) em face da conjugação de toda a factualidade provada e não provada, não se afigura minimamente defensável que a autora tenha atuado com negligência grave ou grosseira;
q) destarte, a douta decisão recorrida fez correta interpretação e aplicação da lei.
Termos em que deve ser negado provimento ao recurso, mantendo-se integralmente a douta decisão recorrida, como é de inteira e esperada JUSTIÇA.

Admitido o recurso e colhidos os vistos, cumpre apreciar.

II. Objeto do recurso:

O objeto do recurso é definido pelas conclusões das alegações, impondo-se conhecer das questões colocadas pelos recorrentes, bem como as que sejam de conhecimento oficioso, sem prejuízo daquelas, cuja decisão fique prejudicada pela solução dada a outras, sendo certo que o tribunal não se encontra vinculado a apreciar todos os argumentos apresentados pelas partes e que visam sustentar os seus pontos de vista, isto atendendo à liberdade do julgador na interpretação e aplicação do direito.
Assim sendo, tendo em atenção as alegações/conclusões apresentadas pela recorrente incumbe a este Tribunal aferir da conformidade da matéria de facto dada como provada sob as als k) e n), com a prova produzida ou, como pretende a recorrente a sua desconformidade; importa ainda aferir se, face à prova produzida a matéria de facto dada por não provada sob as alíneas e), f), g), h), i), j), k), l), m) e n) deveria ser dada por provada, e se verifica contradição entre os factos dados como provados sob as al.s a), h), i), l), z), aa), bb), cc), dd), ee), ff), gg) e a não provada sob a alínea e) e ainda da matéria a aditar.
A proceder impugnação quanto à matéria de facto importa aferir das consequências em termos de decisão de direito, aferindo-se ainda da culpa da autora à luz do nº 4 do artº 115º do RJPME.  III. Fundamentação de facto:

3.1. Factos provados
a) A segunda Ré é uma instituição de crédito que se apresenta sob a denominação comercial de Banco 1....
b) A Autora é cliente da 2ª Ré, há mais de 30 anos, e é também associada do Banco 1... – Associação Mutualista, desde ../../2012.
c) A Autora é titular à ordem da 2ª Ré, das contas bancárias nº  ...74 e  ...18.
d) No dia 25/11/2015 a Autora constituiu na 2ª Ré um depósito a prazo, denominado Banco 1..., no montante de € 19.000,00 (dezanove mil euros), pelo prazo de 3 anos, ao qual foi atribuída a conta nº  ..., tendo ficado associada à conta de depósito à ordem nº ....
e) A Autora aderiu, no dia 27/08/2007, ao serviço X, tendo-lhe sido atribuído o ....
f) Segundo as condições particulares do Serviço X, a Autora passou a dispor de formas telemáticas de contacto com a 2ª Ré e de prestação de serviços à distância, por meio de telefone, fax, correio electrónico, conversação escrita sobre rede de dados de internet (web-chat), por voz sobre a rede de dados na internet (VOIP), ou por outras formas de contacto remotas que viessem a ser criadas.
g) Com a adesão a tal serviço a Autora passou a ter a possibilidade de aceder a informações, quer sobre produtos e serviços do Banco 1..., quer de outras empresas que mantivessem acordos de comercialização de produtos e serviços com o Banco 1..., bem como obter informações ou realizar operações sobre as contas de que fosse titular ou co-titular, realizar operações de compra, venda, subscrição ou resgate de produtos financeiros ou serviços disponibilizados pela Segunda Ré aos seus clientes.
h) Com vista à utilização do Serviço X, a 2ª Ré forneceu à Autora os necessários elementos de acesso e movimentação de contas bancárias, nomeadamente o código PIN (password) e o cartão matriz.
i) A Autora obrigou-se a utilizar o sistema de homebanking de acordo com as normas de utilização, designadamente guardar a confidencialidade das suas credenciais de autenticação.
j) O Banco 1... obrigou-se, designadamente, a promover a segurança dos seus sistemas de informação e executar as ordens nos exactos termos em que foram transmitidas pelos clientes, quando as credenciais de autenticação são correctamente inseridas.
k) Actualmente, a 2ª Ré disponibiliza informação relativa aos procedimentos de segurança e de utilização do serviço no seu site de internet e no sistema ....
l) Desde a adesão ao serviço, a Autora passou a utilizar o Canal ... (homebaking) para aceder e movimentar as contas identificadas.
m) Em data não concretamente apurada, mas seguramente anterior a 16 de março de 2016, terceiros cuja identidade não foi concretamente apurada, acederam, via internet, ao computador utilizado pela Autora, onde criaram um “site” em tudo semelhante ao site do serviço internet “Homebanking ...” da 2ª Ré.
n) No dia 16 de março de 2016, a Autora procurou aceder ao serviço internet “Homebanking ...” da 2ª Ré, e ao contrário do por si pretendido, sem o seu conhecimento e consentimento foi direcionada para o site da “internet” referido na alínea n).
o) Nesse site foram-lhe pedidas as coordenadas do seu cartão matriz que a Autora introduziu, solicitação que foi justificada para garantia de maior segurança na operação pretendida, o que a Autora aceitou sem qualquer suspeita.
p) Nessa sequência, os terceiros cuja identidade não foi concretamente apurada, na posse do número do cartão matriz da Autora, lograram aceder ao “Homebanking ...” da co-Ré Banco 1..., associado às contas bancárias identificadas, domiciliadas no balcão da Avenida ..., na cidade ....
q) Na posse dos dados bancários de acesso às referidas contas e sem que para tal estivessem autorizados, os terceiros não identificados efectuaram os seguintes movimentos, no valor de € 11.809,83 (onze mil oitocentos e nove euros e oitenta e três cêntimos), todos realizados no dia 16/03/2016 e madrugada do dia 17/03/2016:
i) € 2.499,00, pagamento à entidade ...94, refª ...47;
ii) € 2.499,00, pagamento à entidade ...94, refª ...47;
iii) € 2.498,00, pagamento à entidade ...89, refª ...62;
iv) € 2.498,00, pagamento à entidade ...89 refª ...62;
v) € 203,00, pagamento à entidade ...49, refª ...97;
vi) € 456,75, pagamento à entidade ...49, refª ...46;
vii) € 455,73, pagamento à entidade ...49, refª ...51;
viii) € 243,60, pagamento à entidade ...49, refª ...18;
ix) € 456,75, pagamento à entidade ...49, refª ...18.
r) Os terceiros não identificados lograram alcançar os seus desígnios por possuírem conhecimentos e meios informáticos que lhe permitiram iludir terceiros utilizadores de serviços de internet de “Homebanking”, acedendo ilegitimamente a contas bancárias online.
s) A Autora teve conhecimento dos factos descritos no dia 17 de março de 2016, através de um funcionário da 2ª Ré que a contactou por suspeitar dos movimentos bancários efectuados na suas contas.
t) No mesmo dia a Autora redigiu uma comunicação ao gerente do balcão de ... da 2ª Ré com o seguinte teor:
“AA, com o número de contribuinte ...90, e portador do Bilhete de identidade n. ...95, cliente do Banco 1... há mais de 30 anos e associada Nr. E0734.422-0, vem por este meio comunicar que no dia 16 do corrente mês foi vítima de fraude informática, ao aceder ao serviço ....
Foi efectuada transferência do depósito a prazo para a conta de depósitos à ordem – ...8, tendo sido efectuados vários pagamentos os quais ascendem a mais de 12.000,00 €.
Tratam-se de poupanças de uma vida, sou uma família mono-parental (viúva) e tenho um filho em idade escolar, e nesta conformidade venho solicitar a V. Exa., a melhor atenção para a resolução deste problema.
Apresenta os melhores cumprimentos.
..., 17 de março de 2016”
u) A comunicação transcrita foi recepcionada pelo balcão de ... da 2ª Ré no dia 18/03/2016.
w) Com data de 18 de Março de 2016, a Autora dirigiu ao Governador do Banco de Portugal a comunicação com o seguinte teor:
“AA, portadora do Bilhete de identidade n. ...95, contribuinte nº ...90, natural e residente em ..., vem muito respeitosamente expor e solicitar a V. Exª o seguinte:
No dia 16 do corrente mês, ao aceder ao serviço ... do Banco 1..., já dentro da página oficial, fui confrontada com o pedido das coordenadas do cartão matriz, tendo procedido conforme o indicado.
No dia seguinte de manhã fui contactada telefonicamente pela agência de ..., em que me questionaram o facto de ter transferido o montante do depósito a prazo no valor de 19.000,00 €, para a conta DO, via ... ficando para espanto meu, de imediato disponível.
Fiquei surpreendida, em 30 anos de cliente e utilizadora deste serviço, nunca utilizei nem conhecia esta possibilidade de transferência de depósitos a prazo.
Fui ainda informado de terem sido efectuados vários pagamentos de quantias avultadas. Perante tal situação, não hesitei e desloquei-me de imediato ao Banco e então aí é que me apercebi da verdadeira situação. Tinha sido vítima de burla informática, lesada em mais de 12.000,00 €, em menos de 24 horas. Sempre acreditei na segurança do banco e dos mecanismos existentes de salvaguarda dos depósitos dos clientes. Estava longe de pensar na possibilidade deste tipo de operação sem a presença do cliente.
Também não dá para entender como é que num espaço tão curto de tempo, é permitido o pagamento de quantias tão elevadas, sem questionar o cliente. O sistema bancário tem que ter mecanismos de alerta destas situações. Como é que é possível o banco disponibilizar quantias avultadas, o cliente não ter limite de pagamento ou levantamento em menos de 24 horas, quando num mero cartão de débito apenas nos possibilita o levantamento diário de 400 €. A isto acresce o facto de ser associada do Banco 1..., e lamentavelmente chego à conclusão que não beneficio nada por isso.
Numa altura em que tanto se fala de burla, fraude fiscal e branqueamento de capitais, não se compreende não haver por parte do sistema bancário um controlo mais apertado.
Nesta conformidade, venho por este meio apelar a V. Exª, na intervenção da resolução deste problema, no sentido de me ser reposta a quantia em questão.
Informo ainda V. Exª, que fiz também a reclamação no portal do Banco de Portugal com a referência ...69.
Coloco-me disponível para qualquer informação adicional.
Apresento os melhores cumprimentos.”

v) Com data de 31 de Março de 2016, a Autora recebeu da 2ª Ré a seguinte comunicação:
“No seguimento da reclamação apresentada através do Banco de Portugal, de 2016.03.21 que mereceu a nossa melhor atenção e não deixando de lamentar a situação ocorrida, cumpre-nos informar o seguinte:
a) Os sistemas da Banco 1... são revestidos de infraestruturas de segurança, ao nível do software e hardware e da aplicação de políticas e procedimentos, de acordo com os mais rigorosos standards internacionais nesta matéria;
b) A segurança na utilização da internet compreende vários pilares que convergem para melhorar os níveis de segurança dos utilizadores – um desses pilares é o antivírus, outro é a atualização dos sistemas de segurança, ambos no computador do utilizador. É importante que o utilizador tenha sempre presente que nunca deve facultar a terceiros dados pessoais e identificativos, como os seus códigos ou outra informação que permita o acesso às suas contas bancárias online, que tenha sempre instalado no seu computador um programa de antivírus devidamente atualizado, que verifique se o ambiente seguro no acesso ao site está sempre associado a um endereço que começa por https:// e se a página possui um cadeado na barra inferior ou superior do seu browser, em suma, tenha sempre presente os alertas de segurança informados no ... e que se encontram disponíveis no site do Banco 1...;
c) Desta forma, a plataforma de canais do Serviço X observa e salvaguarda, na sua utilização, todos os requisitos de segurança, garantido pela identificação do cliente e pelo código PIN multicanal, composto por 6 dígitos, que permite a realização de operações e consultas que não afetem o património detido no Banco 1...;
d) Existe um segundo nível de segurança, garantido pelo cartão matriz, um cartão de coordenadas, em que a Banco 1... apenas solicita duas posições que valida já todas as operações passíveis de alteração do património. A realização de operações que originem saída de património financeiro implica, para além do cartão matriz, o conhecimento do nº de cliente e do código secreto PIN. Só com estas três credenciais será possível realizar operações para fora do património;
e) Importa esclarecer que as posições do cartão matriz apenas são do conhecimento do titular do cartão. O sistema que produz os cartões é automatizado, não havendo, portanto, qualquer intervenção humana;
f)A Banco 1... somente tomou conhecimento a posteriori e NUNCA solicita informações pessoais e/ou confidenciais através de mensagem de correio eletrónico ou via SMS e nunca envia emails contendo links;
g) Neste sentido, foram fornecidas por V. Exª a terceiros coordenadas do cartão matriz, sem ter realizado operações que o requeressem, conforme indicado na reclamação de 2016-03-18, o que configura negligência grave e que permitiu realização dos pagamentos, pelo que não se observou por parte do Banco 1..., qualquer lapso de procedimentos ou lacuna de segurança, no âmbito daquela prestação de serviço;
h) Assim, ocorreu um crime de burla informática, alheio a esta instituição, em que terceiros terão obtido, ilicitamente, acesso às credenciais necessárias para a realização, via homebanking, de nove pagamentos de serviços fraudulentos, em 2016.03.16 e em 2016.03.17, que lesaram as contas à ordem nº ... e nº 056-10...., que não foi possível recuperar até ao momento, apesar das diligências desenvolvidas.
Resta-nos referir que a Banco 1... prestará todas as informações que lhe forem solicitadas pelas entidades policiais/judiciais competentes, no âmbito de queixa-crime intentada.
Apresentamos os nossos melhores cumprimentos.”
x) No âmbito do processo nº 329/16.6 JABRG a correr termos no Juízo Central Criminal de Viana do Castelo (J...), foi deduzida acusação contra o primeiro Réu, pela prática em autoria material e na forma continuada e concurso real de:
- Um crime de acesso ilegítimo, p. e p. pelo art.º 6º, nºs 1, 2, 3 e 4, al. b) da Lei nº 109/2009, de 15/09;
- Um crime de burla informática e nas comunicações p. e p. pelo art.º 221º, nºs 1 e 5, al. a) do Cód. Penal;
- Um crime de branqueamento, p. e p. pelo art.º 368º-A do Cód. Penal. (cfr. cópia da acusação junta com a p.i.).
y) Nesse processo-crime ainda não foi realizada a audiência de julgamento uma vez que não se conseguiu notificar o arguido, aqui primeiro Réu.
z) O sistema do Banco 1... “homebanking” não foi alvo de qualquer ataque informático, falha de segurança, ou executou, de forma incorrecta as ordens, validamente inseridas.
aa) À data dos factos, para acesso ao homebanking do Banco Réu, funcionavam 3 níveis de segurança: número de utilizador; password e cartão matriz.
bb) O número de utilizador corresponde ao número de “cliente Banco 1...”.
cc) A password, composta por seis dígitos, após o primeiro login, tinha de ser obrigatoriamente alterada por uma da autoria e do exclusivo conhecimento do utilizador.
dd) O cartão matriz é composto por 72 posições, cada uma com três dígitos, para validação de operações passíveis de alterar o património detido pelos clientes junto do Banco 1....
ee) O seu processo de produção é externo ao Banco Réu e não envolve qualquer actuação humana, uma vez que as coordenadas são geradas e envelopadas por computador.
ff) Das condições gerais de subscrição do serviço “X” pela Autora
“9.7…é atribuído pela Banco 1... um PIN e um cartão com uma chave alfanumérica a cada cliente para aceder através do Serviço X, via telefone, internet, ou outras formas telemáticas de contacto a disponibilizar, a todas as contas de que seja titular único ou solidário ou representante. A Banco 1... pode solicitar ao cliente a alteração do seu PIN na primeira utilização, podendo este, posteriormente alterá-lo sempre que assim o desejar.
9.8. Independentemente de quaisquer outras regras que possam vir a ser definidas no futuro, a identificação do Cliente perante o Serviço X, far-se-á através da indicação pelo mesmo do seu PIN, podendo o serviço solicitar aleatoriamente alguns dos números ou letras da Chave Alfanumérica para determinadas operações.
9.9. A partir do momento da adesão, o cliente autoriza a Banco 1... a realizar as operações através dos meios electrónicos do serviço X. A Banco 1... fica expressamente autorizada pelo Cliente a executar as ordens verbais pelo Telefone, VOIP, internet, ou outras formas telemáticas de contacto, no âmbito do Serviço X, desde que tais ordens sejam validadas pelos elementos de identificação PIN e adicionalmente, para algumas operações, letras ou números da Chave alfanumérica…”
gg) A partir do momento de adesão ao serviço de homebanking, os clientes autorizam o Banco 1... a realizar as operações ordenadas através daquele meio electrónico, desde que devidamente validadas através das credenciais de autenticação do utilizador.
hh) No dia 03/08/2016, a Autora voltou a aderir ao serviço de “homebanking” do Banco Réu.

3.2. Factos não provados

a) Tais transferências, nomeadamente as identificadas em i), ii), iii) e iv), no valor global de € 9.994,00 tiveram por destino a conta cartão número ...66, do Banco 2..., titulado em nome do 1º Réu.
b) O Réu BB apoderou-se da quantia total de € 11.809,83.
c) O Réu BB usou de meios fraudulentos para se apoderar daquela quantia, acedendo ilegitimamente às contas bancárias online da Autora, através do denominado phishing.
d) O sistema informático da Ré Banco 1... não cuidou de acautelar os interesses da Autora, sua cliente, ao permitir que alguém à distância mobilizasse várias importâncias depositadas em conta a prazo, o que habitualmente só permite com a presença física do cliente.
e) Quando a Autora subscreveu o serviço “homebanking” foram-lhe explicados todos os procedimentos de segurança e de utilização do serviço.
f) Por referência à data dos factos, em 16/03/2016, o Banco 1... dispunha no seu site e no próprio sistema ... de um conjunto de recomendações de segurança a fim de prevenir a ocorrência de fraudes.
g) Nessa data, no momento de abertura da página de login, através da utilização de um computador, surgia a indicação de avisos de segurança, antes mesmo do utilizador colocar a sua password.
h) Alertando para a necessidade de o utilizador estar na página da internet institucional da Ré, bem como da forma visual de o confirmar.
i) Bem como dos procedimentos de utilização do cartão matriz, nomeadamente o número de coordenadas pedidas pelo sistema da Ré.
j) E ainda o aviso: “Recordamos e alertamos para o facto do Banco 1... apenas solicitar a indicação de 2 posições do seu cartão matriz, pelo que, se lhe for solicitado que preencha o cartão completo ou qualquer outra combinação, deverá ser considerada como uma tentativa de fraude, devendo contactar de imediato a linha informativa Banco 1...…”
k) Após o login, efectuado na primeira utilização, surgia uma mensagem POP UP, de leitura obrigatória, que mencionava as regras de segurança a ser atendidas pelo utilizador, sendo necessária a validação da sua compreensão através de um click no canto inferior esquerdo para puder efectuar a entrada no sistema.
l) No sítio da internet do Réu, no separador referente ao serviço ..., encontravam-se todas as informações e recomendações de segurança.
m) Havia, ainda, uma página referente às “dicas de segurança” onde surgia a identificação de um link para um documento onde constavam exemplos de fraude, sempre actualizados, para que também desta forma os utilizadores pudessem tomar conhecimento da existência de tentativas deste tipo de ilícitos.
n) Ainda no canto superior direito do cartão matriz podia-se ler “Atenção: Nunca indique mais do que 2 dígitos deste cartão matriz.” o) Os equipamentos informáticos da Autora foram alvo de um ataque informático orquestrado pelo primeiro Réu. IV. Da impugnação da matéria de facto:

Verificando-se que a recorrente indica quais os factos que pretende que sejam decididos de modo diverso, bem como os meios probatórios que na sua óptica o impõe(m), podemos concluir que cumpriu o ónus estabelecido no art. 640.º do CPC.
Resulta das conclusões da apelante que esta não concorda com a resposta aos pontos 33.º e 34º dos factos dados como provados e com a resposta ao ponto 47º, dos factos dados como não provados.

Relevante, para o efeito, é antes de mais, verificar qual foi a
“3.3. Motivação
Na consideração da factualidade provada e não provada, o tribunal alicerçou a sua convicção no acervo documental junto aos autos em conjugação com o depoimento das testemunhas II, JJ, KK, LL, MM (todas testemunhas arroladas pela Autora) GG, NN, EE, DD, FF (todas testemunhas arroladas pela Ré) e, ainda, ponderando o depoimento de parte da Autora, tudo analisado à luz das regras da experiência comum e normalidade social.
Os factos dados como provados nas als. a), b), c), d), f), g), h), l), m), n), p), q), r), t), u), v) e y) resultam da falta de impugnação pelo Segundo Réu. É certo que, quanto ao primeiro Réu, que foi citado editalmente e não deduziu contestação, não se consideram confessados os factos articulados pela Autora (art.º 567º e 568º do CPC), mas tais factos também resultam suportados pela prova documental e testemunhal produzida, sendo certo que não há qualquer prova que contrarie tais factos.
É pacífico e evidente que as descritas operações a débito executadas na conta bancária da Autora não foram por esta realizadas, mas por terceiros, através de actuação ilegítima, sem seu conhecimento nem autorização. Quanto ao “modus operandi” que permitiu essa actuação ilícita, o Banco Réu confessou que as credenciais de autenticação foram obtidas através da criação de páginas falsas, onde a Autora as inseriu julgando estar a inseri-las no site oficial do Banco. Embora se desconheça o grau de semelhança da página falsa onde a Autora inseriu as suas credenciais com a página oficial do Banco, foi reconhecido pela testemunha GG o recurso por parte de “hackers” à clonagem da página com semelhanças visuais que são susceptíveis de confundir o utilizador, fazendo-o crer que está numa página oficial, embora tenha afirmado que há elementos visuais que permitem aferir se estamos no site fidedigno, concretamente, o endereço de URL e a existência de um cadeado verde. Por seu turno, a testemunha EE admitiu que foram reportadas ao Banco situações idênticas, mas disse desconhecer as páginas fraudulentas. Por seu turno, a testemunha FF admitiu que as páginas falsas são o mais próximas possível da realidade, ou seja, são facilmente confundíveis com a página verdadeira, não levantando suspeitas aos utilizadores que não estejam atentos a pequenos pormenores, como são nome do site na barra de endereços ou o cadeado que surge quando se está perante um site seguro.
Todas as testemunhas do Banco Réu confirmaram que não houve qualquer ataque informático aos sistemas do Banco nem quaisquer falhas de segurança.
É a própria Autora que admite que nessa página falsa foram-lhe solicitadas as coordenadas do seu cartão matriz, as quais facultou.
As testemunhas NN e EE referiram que os terceiros conseguiram executar os movimentos bancários porque a Autora forneceu os seus dados de acesso à conta e as coordenadas do cartão matriz (todas), quando na página genuína só são pedidas duas posições do cartão matriz, revelando que tal conhecimento foi adquirido através da declaração que a Autora apresentou no Banco no dia 17/03/2016, e que consta como doc. nº 12 com a contestação. Ou seja, as testemunhas baseiam o seu conhecimento unicamente no teor da declaração e reclamação apresentada pela Autora após a ocorrência dos movimentos indevidos a débito na(s) sua(s) conta(s) bancária(s).
Na referida declaração a Autora reconhece que no dia “16 do corrente mês, ao aceder ao ..., após ter colocado o número de cliente, foi-me solicitado todas as coordenadas do cartão matriz, dizendo que era por uma questão de segurança.”
Acresce que, na carta que dirigiu ao Governador do Banco de Portugal, junta como doc. nº 7 com a petição inicial, a Autora reconheceu que foi confrontada com o pedido de coordenadas do cartão matriz, tendo procedido conforme o indicado.
Em depoimento de parte, a Autora confirmou o teor do referido documento nº 12, embora tenha refutado ter fornecido todas as posições do cartão matriz, justificando o declarado com o facto de à data da comunicação dirigida ao Banco se encontrar em estado de choque, e, de facto, afigura-se-nos pouco consentâneo com a realidade que a Autora tenha inserido todas as coordenadas do cartão matriz composto por 72 posições, cada uma com três dígitos, tanto mais que o equipamento utilizado era o computador do seu local de trabalho. De todo o modo, é de salientar que o Banco Réu também não alegou que a Autora forneceu todas as coordenadas do cartão matriz, mas apenas alegou que a Autora forneceu “as coordenadas do cartão matriz”.
A Autora não impugnou as condições gerais do serviço X (juntas como doc. nº 4 com a contestação), nem os factos alegados pelo Banco Réu quanto aos procedimentos de acesso ao “homebanking”, elementos de segurança e de autenticação dos utilizadores, daí que se tenham dado como provados os factos discriminados nas als. z) a gg).
Por seu turno, as testemunhas revelaram não ter conhecimento concreto dos factos. As testemunhas arroladas pela Autora apenas presenciaram o telefonema que esta recebeu do Banco em que lhe deram conhecimento dos movimentos efectuados, e da forma como é que esta reagiu à notícia. Todas as testemunhas declararam, de forma unânime, que a Autora ficou totalmente transtornada. Acresce que, todas elas atestaram que se trata de uma profissional muito responsável, diligente, ponderada, exercendo a sua função de chefia de forma irrepreensível e sem falhas.
Embora nenhuma das testemunhas do Banco Réu tenha confirmado que foi o Banco que contactou a Autora e lhe deu conhecimento dos movimentos ilegítimos, a testemunha FF confirmou que a Autora costumava deslocar-se presencialmente ao Banco, onde era atendida pelo Sr. OO, funcionário que a Autora afirma ter-lhe telefonado, dando-lhe conhecimento do ocorrido, e confirmado pelas testemunhas por si arroladas. Mais, esclareceu que no dia útil seguinte à realização de movimentos das contas bancárias, está disponível para consulta um mapa com a movimentação de valores superiores a € 10.000,00, e quando se suspeite da ilegitimidade das operações suspendem, de imediato, o serviço de homebanking.
Esta testemunha confirmou a existência em vigor de vários alertas de segurança aos clientes, confirmando os alertas de segurança resultantes dos documentos juntos com a contestação, mas referiu que desconhece se tais alertas já existiam na data a que se reportam os factos. Analisados os documentos juntos como nºs 5 a 11 com a contestação, verificamos que se tratam de páginas online impressas do site do Banco Réu, contendo “Dicas de Segurança”, “Acesso ... Particulares”, “Alertas de Segurança” e “cartão matriz”, mas não resulta dos documentos que tais alertas de segurança já estivessem em vigor na data da ocorrência dos factos em causa. Aliás, resulta da nota de rodapé dos docs. nºs 5, 6, 8 que se tratam de documentos em arquivo reportados à data de 07/11/2016, o que é confirmado pela menção à “ultima actualização: 11 de Novembro de 2016” constante do documento nº 10. Como foi admitido pela testemunha EE, nessa altura foram reportadas ao Banco outras situações similares, ou seja, tratou-se de uma fraude bancária através de uma actuação de “pharming” ou “phishing” que teve como alvo vários clientes do Banco Réu, e não uma situação isolada que só teve como alvo a Autora. Por outro lado, as testemunhas GG e PP revelaram não saber em concreto o que se passou, sendo que a sua averiguação foi com base na reclamação da Autora, resultando que o Banco não procedeu a qualquer averiguação concreta, desconhecendo as testemunhas qual a página utilizada para obter os dados de autenticação da Autora, nada sabendo dizer quanto ao seu nível de semelhança com o site oficial.
Por sua vez, a testemunha NN, referiu que o Banco, na sequência da reclamação da Autora, cancelou o serviço e diligenciaram pela recuperação dos fundos movimentados junto das entidades beneficiárias dos valores, mas só respondeu o Banco 2... que negou a possibilidade de proceder à devolução dos valores movimentados.
Os documentos juntos com a petição inicial, comprovam que o depósito a prazo da conta nº ..., no montante de € 19.000,00 foi constituído no dia 25/11/2015, e ficou associado à conta de depósito à ordem nº ... (cfr. condições particulares do contrato de depósito junto como doc. nº 2). Embora o documento nº 4 junto com a petição inicial indique que a Autora aderiu ao serviço X 03/08/2016, essa adesão terá ocorrido na sequência do cancelamento do serviço em virtude dos movimentos fraudulentos de que a sua conta bancária foi alvo, os quais confessadamente ocorreram em Março de 2016. Conforme resulta da documentação junta com a contestação e é admitido pela Autora, esta era cliente da Ré há 30 anos, sendo certo que o documento nº 3 junto com a contestação comprova que a Autora subscreveu o serviço X em 27/08/2007, para a conta nº ....
Das condições gerais de utilização do serviço consta que a identificação do cliente no serviço X faz-se através da identificação do seu PIN, podendo o serviço solicitar aleatoriamente alguns dos números ou letras da chave alfanumérica para determinadas operações (condições 9.8. e 9.9). O cliente compromete-se a guardar sob segredo os seus elementos de identificação PIN e chave alfanumérica, bem como a prevenir adequadamente a utilização abusiva por parte de terceiros. O cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do serviço X por parte de terceiros, com excepção do estabelecido no ponto 9.19 (ponto 9.16). O ponto 9.19 estabelece que a responsabilidade do cliente por operações irregulares efectuadas com o cartão, ou através da utilização abusiva do PIN ou chave alfanumérica, cessa no momento em que seja efectuada a comunicação acima referida, salvo se forem devidas a dolo e/ou negligência grosseira do cliente. As referidas cláusulas não definem nem densificam o que se deve entender por dolo e/ou negligência grosseira.
Quanto à alegada actuação do Réu BB, não foi produzida qualquer prova. Com efeito, embora os factos alegados pela Autora, designadamente os relativos à actuação e intervenção do Réu, tenham sido aceites pelo segundo Réu, o primeiro Réu foi citado editalmente, pelo que não podem os referidos factos serem considerados provados (art.º 567 e 568º do CPC). Ora, não foi produzida qualquer prova relativamente à autoria do referido Réu, não constituindo a acusação deduzida em processo crime imputando-lhe a autoria dos factos prova inequívoca da sua verificação.
Como é consabido a acusação pode basear-se em meros indícios, os quais terão que ser confirmados em sede de audiência de julgamento. Caso não sejam suportados em prova claras e inequívocas, os factos não podem considerar-se provados nem o arguido condenado por eles. Os factos relativos às comunicações efectuadas pela Autora, designadamente a efectuado ao Governador do Banco de Portugal resultam da documentação junta aos autos”.

Vejamos.

1. Pretende a recorrente/impugnante que em sede do facto dado como provado sob a alínea n), ocorreu um erro de escrita ao ali se fazer referência, não ao item m) dos factos provados mas sim ao facto n).
Deu o Tribunal a quo como provado sob a alínea n) que “No dia 16 de março de 2016, a Autora procurou aceder ao serviço internet “Homebanking ...” da 2ª Ré, e ao contrário do por si pretendido, sem o seu conhecimento e consentimento foi direcionada para o site da “internet” referido na alínea n)”.
Da leitura deste item e ainda do item m), onde se dá como provado que “Em data não concretamente apurada, mas seguramente anterior a 16 de março de 2016, terceiros cuja identidade não foi concretamente apurada, acederam, via internet, ao computador utilizado pela Autora, onde criaram um “site” em tudo semelhante ao site do serviço internet “Homebanking ...” da 2ª Ré”, resulta sem sombra de dúvida que, no item n), onde se refere ”(…) referido na alínea n)”, pretendia-se fazer referência ao site da “internet”, referido no item m), e assim sendo, corrige-se este lapso de escrita, passando o item n) dos factos assentes a ter a seguinte redação:

“No dia 16 de março de 2016, a Autora procurou aceder ao serviço internet “Homebanking ...” da 2ª Ré, e ao contrário do por si pretendido, sem o seu conhecimento e consentimento foi direcionada para o site da “internet” referido na alínea m)”.

2. Deu o Tribunal a quo como provado sob a al. k) que “Actualmente, a 2ª Ré disponibiliza informação relativa aos procedimentos de segurança e de utilização do serviço no seu site de internet e no sistema ...”.
 Vem o recorrente/impugnante alegar que o mesmo incorreu em erro de julgamento, devendo ter dado como provado que “a 2.º Ré disponibilizava, à data dos factos, como disponibiliza atualmente, informação relativa aos procedimentos de segurança e de utilização do seu site de internet e no sistema ...”.
Vem ainda o recorrente/impugnante insurgir-se contra os factos dados como não provados sob as alíneas os factos e), f), g), h), i), j), k), l), m) e n) entendendo deverem os mesmos ter sido considerados factos provados.
São os seguintes os factos:
2.1.e) Quando a Autora subscreveu o serviço “homebanking” foram-lhe explicados todos os procedimentos de segurança e de utilização do serviço.
2.2.f) Por referência à data dos factos, em 16/03/2016, o Banco 1... dispunha no seu site e no próprio sistema ... de um conjunto de recomendações de segurança a fim de prevenir a ocorrência de fraudes.
2.3.g) Nessa data, no momento de abertura da página de login, através da utilização de um computador, surgia a indicação de avisos de segurança, antes mesmo do utilizador colocar a sua password.
2.4.h) Alertando para a necessidade de o utilizador estar na página da internet institucional da Ré, bem como da forma visual de o confirmar.
2.5.i) Bem como dos procedimentos de utilização do cartão matriz, nomeadamente o número de coordenadas pedidas pelo sistema da Ré.
2.6.j) E ainda o aviso: “Recordamos e alertamos para o facto do Banco 1... apenas solicitar a indicação de 2 posições do seu cartão matriz, pelo que, se lhe for solicitado que preencha o cartão completo ou qualquer outra combinação, deverá ser considerada como uma tentativa de fraude, devendo contactar de imediato a linha informativa Banco 1...…”
2.7.k) Após o login, efectuado na primeira utilização, surgia uma mensagem POP UP, de leitura obrigatória, que mencionava as regras de segurança a ser atendidas pelo utilizador, sendo necessária a validação da sua compreensão através de um click no canto inferior esquerdo para puder efectuar a entrada no sistema.
2.8.l) No sítio da internet do Réu, no separador referente ao serviço ..., encontravam-se todas as informações e recomendações de segurança.
2.9.m) Havia, ainda, uma página referente às “dicas de segurança” onde surgia a identificação de um link para um documento onde constavam exemplos de fraude, sempre actualizados, para que também desta forma os utilizadores pudessem tomar conhecimento da existência de tentativas deste tipo de ilícitos.
2.10.n) Ainda no canto superior direito do cartão matriz podia-se ler “Atenção: Nunca indique mais do que 2 dígitos deste cartão matriz.”

Pretende ainda o recorrente/ impugnante ver aditados os seguintes factos:
d) O Banco 1... apenas solicita duas posições do cartão matriz de forma aleatória para validar operações para fora do património do cliente;
e) O Banco 1... não solicita posições do cartão matriz para efetuar consultas às contas;
f) O Banco 1... não solicita reforços de segurança que requeiram a colocação de coordenadas do cartão matriz;

Vejamos.

Aos autos é aplicável o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME), aprovado pelo Decreto-Lei nº 91/2018, de 12/11, e que resulta da transposição das Directivas Comunitárias nº 2007/64/CE do Parlamento Europeu e do Conselho de 13 de novembro (primeira directiva dos serviços de pagamento ou DSP1) e a Directiva (EU) 2015/2366 do Parlamento Europeu e do Conselho de 25 de novembro (segunda directiva dos serviços de pagamento – DSP2).
Deste diploma, a saber, dos artºs 110º a 115º, somos levados a concluir que, em todas as situações não imputáveis a título de negligência grave ao utilizador do serviço, é o banco (o prestador do serviço) quem deve arcar com os prejuízos que excedam o valor de € 50,00, que decorram de operações de pagamento não autorizadas, suportando este o risco do sistema informático que sustenta o serviço de home banking não ser seguro, permitindo a intromissão de terceiros.
Assim, a responsabilidade do utilizador do serviço (ordenante da operação) será limitada ou circunscrita àquele montante de € 50,00€, suportando o banco os prejuízos excedentes, por lhe caber suportar o risco do sistema informático que sustenta o serviço do home banking não ser seguro e permitir a intromissão de terceiros (cfr. Carolina França Barreira, ‘Home banking (…), pp. 47/48), como refere o Acordão desta Relação de Guimarães, de 2 de abril de 2025, relatado pela Srª Desembargadora  Fernanda Proença Fernandes, in www.dgsi.pt.
E continua o Aresto acima referido “Já nas situações de negligência grosseira do utilizador do serviço, é este quem suporta as perdas resultantes das operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a 50,00€ (art. 115º, nº 4 do RJSPME).
O banco (prestador do serviço) suporta os prejuízos causados pelas debilidades dos sistemas de pagamento que disponibiliza aos seus clientes sempre que as perdas não tenham sido potenciadas por negligência grosseira destes.
Aqui cabe ao banco provar que a operação de pagamento foi devidamente autenticada e, uma vez feita esta prova, compete-lhe ainda provar a contribuição do cliente para os prejuízos ocorridos e o grau de culpa subjacente ao seu comportamento (cfr. Carolina França Barreira, ‘Home banking (…), pp. 37 e 62/63).
Caso o não faça, ou seja, caso não prove que o cliente utilizador contribuiu com negligência grave para a ocorrência de operações de pagamento não autorizadas, então deverá o banco suportar a totalidade dos prejuízos (cfr. o Ac. da Relação do Porto de 18.04.2023, in www.dgsi.pt).
(…)
Contudo, como já referido, das normas acima transcritas resulta que, no caso de realização de operações de pagamento não autorizadas sobre a conta do cliente através da utilização de serviço de homebanking, com recurso a fraude informática e/ou burla, o banco apenas vê afastada a sua responsabilidade pelos danos sofridos pelo utilizador de serviços de pagamento se alegar e provar que o dano em causa se deveu a actuação dolosa ou negligência grosseira do utilizador do serviço.
Ou seja, o risco inerente à utilização e funcionamento dos serviços de pagamento recai sobre o prestador de serviços, cabendo a este, para se eximir dessa responsabilização, não só provar que a operação de pagamento foi devidamente autenticada (art. 113.º, n.º 1), mas ainda que o utilizador dos serviços de pagamento (ordenante) actuou de forma fraudulenta ou incumpriu de forma deliberada uma ou mais das suas obrigações decorrentes do artigo 110.º ou que actuou com negligência grosseira (art. 113.º, n.º 3 e n.º 4) (cfr. neste sentido, entre outros, o Ac. da Relação de Évora de 24.09.2020, ou o Ac. da Relação do Porto de 12.10.2023, ambos in www.dgsi.pt)”.

Atendendo a tudo o que atrás se refere entendemos relevante nos autos, em termos fáticos, a demonstração, pelo banco, aqui recorrente/impugnante, de que a operação de pagamento foi devidamente autenticada e, uma vez feita esta prova, provar a contribuição do cliente para os prejuízos ocorridos e o grau de culpa subjacente ao seu comportamento aos autos.
Ora, no que à impugnação da matéria de facto diz respeito, a jurisprudência tem vindo a precisar que a mesma não se justifica, como refere o Acordão desta Relação de Guimarães de 10 de Julho de 2025, relatado pela Sra Desembargadora Maria João Matos “(…)a se, de forma independente e autónoma da decisão de mérito proferida, assumindo antes um carácter instrumental face à mesma.
Com efeito, a «impugnação da decisão proferida sobre a matéria de facto, consagrada no artigo 685.º-B [do anterior CPC], visa, em primeira linha, modificar o julgamento feito sobre os factos que se consideram incorrectamente julgados. Mas, este instrumento processual tem por fim último possibilitar alterar a matéria de facto que o tribunal a quo considerou provada, para, face à nova realidade a que por esse caminho se chegou, se possa concluir que afinal existe o direito que foi invocado, ou que não se verifica um outro cuja existência se reconheceu; ou seja, que o enquadramento jurídico dos factos agora tidos por provados conduz a decisão diferente da anteriormente alcançada. O seu efectivo objectivo é conceder à parte uma ferramenta processual que lhe permita modificar a matéria de facto considerada provada ou não provada, de modo a que, por essa via, obtenha um efeito juridicamente útil ou relevante» (Ac. da RC, de 24.04.2012, António Beça Pereira, Processo n.º 219/10.6T2VGS.C1, com bold apócrifo).
Logo, por força dos princípios da utilidade, economia e celeridade processual, o Tribunal ad quem não deve reapreciar a matéria de facto «quando o(s) facto(s) concreto(s) objecto da impugnação for insusceptível de, face às circunstância próprias do caso em apreciação e às diversas soluções plausíveis de direito, ter relevância jurídica, sob pena de se levar a cabo uma actividade processual que se sabe, de antemão, ser inconsequente», convertendo-a numa «pura actividade gratuita ou diletante» (Ac. da RC, de 27.05.2014, Moreira do Carmo, Processo n.º 1024/12.0T2AVR.C1).
Por outras palavras, se, «por qualquer motivo, o facto a que se dirige aquela impugnação for, "segundo as várias soluções plausíveis da questão de direito", irrelevante para a decisão a proferir, então torna-se inútil a actividade de reapreciar o julgamento da matéria de facto, pois, nesse caso, mesmo que, em conformidade com a pretensão do recorrente, se modifique o juízo anteriormente formulado, sempre o facto que agora se considerou provado ou não provado continua a ser juridicamente inócuo ou insuficiente.
Quer isto dizer que não há lugar à reapreciação da matéria de facto quando o facto concreto objecto da impugnação não for susceptível de, face às circunstância próprias do caso em apreciação, ter relevância jurídica, sob pena de se levar a cabo uma actividade processual que se sabe, antemão, ser inconsequente, o que contraria os princípios da celeridade e da economia processual consagrados nos artigos 2.º n.º 1, 137.º e 138.º.» (Ac. da RC, de 24.04.2012, António Beça Pereira, Processo n.º 219/10.6T2VGS.C1, com bold apócrifo”..

Ora, salvo o devido respeito por contrária opinião, os factos que se pretende ver dados como provados, factos alegados pela 2ª ré, em nada contribuem para a demonstração da culpa do cliente, sendo apenas demonstrativos do cumprimento, por parte desta, das obrigações que, como prestador de serviços, sobre si recaiam.
A sua prova não acarreta a culpa, a título de negligência grosseira, da sua cliente, aqui recorrido, porque a sua afirmação não demonstra o seu não acatamento por parte deste.
Efetivamente, para aferição da culpa daquela, deu-se como provado, sob as alíneas n) e o) que:
No dia 16 de março de 2016, a Autora procurou aceder ao serviço internet “Homebanking ...” da 2ª Ré, e ao contrário do por si pretendido, sem o seu conhecimento e consentimento foi direcionada para o site da “internet” referido na alínea m).
Nesse site foram-lhe pedidas as coordenadas do seu cartão matriz que a Autora introduziu, solicitação que foi justificada para garantia de maior segurança na operação pretendida, o que a Autora aceitou sem qualquer suspeita.
Tais factos, que se referem ao comportamento da autora não foram objeto de impugnação pelas partes, sendo certo que, pretender dar como assente as informações, dicas e avisos de conduta, não afastam ou agravam aquele comportamento.
Assim, não pode este Tribunal ad quem conhecer do pretendido objecto do seu recurso sobre a matéria de facto, que, por isso, se rejeita.
 
3.Vem o recorrente/impugnante arguir a contradição entre os factos dados como provados sob as als a), h), i), l), z), aa), bb), cc), dd), ee), ff) e gg) e o facto dado como não provado sob a al. e).

Vejamos.

São os seguintes os factos dados como provados:
a) A segunda Ré é uma instituição de crédito que se apresenta sob a denominação comercial de Banco 1....
(...)
h) Com vista à utilização do Serviço X, a 2ª Ré forneceu à Autora os necessários elementos de acesso e movimentação de contas bancárias, nomeadamente o código PIN (password) e o cartão matriz.
i) A Autora obrigou-se a utilizar o sistema de homebanking de acordo com as normas de utilização, designadamente guardar a confidencialidade das suas credenciais de autenticação.
(…)
l) Desde a adesão ao serviço, a Autora passou a utilizar o Canal ... (homebaking) para aceder e movimentar as contas identificadas.
(…)
z) O sistema do Banco 1... “homebanking” não foi alvo de qualquer ataque informático, falha de segurança, ou executou, de forma incorrecta as ordens, validamente inseridas.
aa) À data dos factos, para acesso ao homebanking do Banco Réu, funcionavam 3 níveis de segurança: número de utilizador; password e cartão matriz.
bb) O número de utilizador corresponde ao número de “cliente Banco 1...”.
cc) A password, composta por seis dígitos, após o primeiro login, tinha de ser obrigatoriamente alterada por uma da autoria e do exclusivo conhecimento do utilizador.
dd) O cartão matriz é composto por 72 posições, cada uma com três dígitos, para validação de operações passíveis de alterar o património detido pelos clientes junto do Banco 1....
ee) O seu processo de produção é externo ao Banco Réu e não envolve qualquer actuação humana, uma vez que as coordenadas são geradas e envelopadas por computador.
ff) Das condições gerais de subscrição do serviço “X” pela Autora
“9.7…é atribuído pela Banco 1... um PIN e um cartão com uma chave alfanumérica a cada cliente para aceder através do Serviço X, via telefone, internet, ou outras formas telemáticas de contacto a disponibilizar, a todas as contas de que seja titular único ou solidário ou representante. A Banco 1... pode solicitar ao cliente a alteração do seu PIN na primeira utilização, podendo este, posteriormente alterá-lo sempre que assim o desejar.
9.8. Independentemente de quaisquer outras regras que possam vir a ser definidas no futuro, a identificação do Cliente perante o Serviço X, far-se-á através da indicação pelo mesmo do seu PIN, podendo o serviço solicitar aleatoriamente alguns dos números ou letras da Chave Alfanumérica para determinadas operações.
9.9. A partir do momento da adesão, o cliente autoriza a Banco 1... a realizar as operações através dos meios electrónicos do serviço X. A Banco 1... fica expressamente autorizada pelo Cliente a executar as ordens verbais pelo Telefone, VOIP, internet, ou outras formas telemáticas de contacto, no âmbito do Serviço X, desde que tais ordens sejam validadas pelos elementos de identificação PIN e adicionalmente, para algumas operações, letras ou números da Chave alfanumérica…”
gg) A partir do momento de adesão ao serviço de homebanking, os clientes autorizam o Banco 1... a realizar as operações ordenadas através daquele meio electrónico, desde que devidamente validadas através das credenciais de autenticação do utilizador.

Por outro lado, deu-se como não provado, sob a alínea e) que:
Quando a Autora subscreveu o serviço “homebanking” foram-lhe explicados todos os procedimentos de segurança e de utilização do serviço.

Por contradição deve entender-se uma incoerência (no sentido de falta de nexo entre duas afirmações ou atos), oposição (no sentido de objeção ou contestação a uma ideia) ou afirmação contrária ao que foi dito ou feito anteriormente.
Ora, lidos os factos dados como provados e não provados entendemos não se verificar aquela contradição uma vez que, o fornecimento à autora por parte da 2ª ré dos necessários elementos de acesso e movimentação de contas bancárias, nomeadamente o código PIN (password) e o cartão matriz, com vista à utilização do Serviço X, obrigando-se aquela a utilizar o sistema de homebanking de acordo com as normas de utilização, designadamente guardar a confidencialidade das suas credenciais de autenticação, acrescida do fornecimento das condições gerais de subscrição do serviço “X” por esta, não conduzem, necessariamente, a que esta tenha explicado àquela todos os procedimentos de segurança e de utilização daquele serviço.
Os factos não se mostram antagónicos e não se excluem, motivo porque entendemos não se verificar a invocada contradição.
Aqui chegados e atendendo ao atrás referido, apenas se altera a redação do item n) nos seguintes termos:
“No dia 16 de março de 2016, a Autora procurou aceder ao serviço internet “Homebanking ...” da 2ª Ré, e ao contrário do por si pretendido, sem o seu conhecimento e consentimento foi direcionada para o site da “internet” referido na alínea m)”. IV. Da reapreciação do direito:

Aqui chegados, importa aos autos se, deve a sentença em crise ser revogada.
 
Conforme já acima referimos, aos autos é aplicável o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME), aprovado pelo Decreto-Lei nº 91/2018, de 12/11, que resulta da transposição das Directivas Comunitárias nº 2007/64/CE do Parlamento Europeu e do Conselho de 13 de novembro (primeira directiva dos serviços de pagamento ou DSP1) e a Directiva (EU) 2015/2366 do Parlamento Europeu e do Conselho de 25 de novembro (segunda directiva dos serviços de pagamento – DSP2) e que regula, conforme resulta do nº 1, do artº 1º, o acesso à actividade das instituições de pagamento e a prestação de serviços de pagamento, bem como o acesso à actividade das instituições de moeda eletrónica e a prestação de serviços de emissão de moeda eletrónica e, nos termos do disposto no nº 1 do artº 3º, é aplicável à actividade das instituições de pagamento com sede em Portugal e das respectivas sucursais, agentes e terceiros aos quais sejam subcontratadas funções operacionais, bem como à prestação de serviços de pagamento em Portugal pelas entidades legalmente habilitadas, nos termos previstos no n.º 3 do presente artigo.
Atendendo a que a 2ª ré, ora recorrente é uma instituição de crédito e a autora, ora recorrida é sua cliente titular à ordem desta, de duas contas bancárias, e utilizadora do serviço X, passando, pois a dispor de formas telemáticas de contacto com aquela e de prestação de serviços à distância, por meio de telefone, fax, correio electrónico, conversação escrita sobre rede de dados de internet (web-chat), por voz sobre a rede de dados na internet (VOIP), ou por outras formas de contacto remotas que viessem a ser criadas, não restam dúvidas de que se mostra correto a aplicação do RJSPME.
Relevantes para o caso dos autos são os artºs 110º a 115º do referido diploma, que nos escusamos de transcrever, e cuja leitura conjunta permite concluir, como refere o Acordão da Relação de Guimarães que já, em relação à impugnação da matéria de facto, citamos “Assim, em todas as situações não imputáveis a título de negligência grave ao utilizador do serviço, é o banco (o prestador do serviço) quem deve arcar com os prejuízos que excedam o valor de 50,00€ (arts. 114º e 115º, nº 1 do RJSPME, supra transcritos) decorrentes de operações de pagamento não autorizadas, pois é a este que cabe suportar o risco do sistema informático que sustenta o serviço de home banking não ser seguro e permitir a intromissão de terceiros. A responsabilidade do utilizador do serviço (ordenante da operação) é, nestas situações, limitada ou circunscrita ao referido montante (50,00€), arcando o banco com os prejuízos excedentes, por lhe caber suportar o risco do sistema informático que sustenta o serviço do home banking não ser seguro e permitir a intromissão de terceiros (cfr. Carolina França Barreira, ‘Home banking (…), pp. 47/48).
Já nas situações de negligência grosseira do utilizador do serviço, é este quem suporta as perdas resultantes das operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a 50,00€ (art. 115º, nº 4 do RJSPME).
O banco (prestador do serviço) suporta os prejuízos causados pelas debilidades dos sistemas de pagamento que disponibiliza aos seus clientes sempre que as perdas não tenham sido potenciadas por negligência grosseira destes.
Aqui cabe ao banco provar que a operação de pagamento foi devidamente autenticada e, uma vez feita esta prova, compete-lhe ainda provar a contribuição do cliente para os prejuízos ocorridos e o grau de culpa subjacente ao seu comportamento (cfr. Carolina França Barreira, ‘Home banking (…), pp. 37 e 62/63).
Caso o não faça, ou seja, caso não prove que o cliente utilizador contribuiu com negligência grave para a ocorrência de operações de pagamento não autorizadas, então deverá o banco suportar a totalidade dos prejuízos (cfr. o Ac. da Relação do Porto de 18.04.2023, in www.dgsi.pt)”.
No caso dos autos, demonstrado ficou que o sistema do Banco 1... “homebanking” não foi alvo de qualquer ataque informático, falha de segurança, ou executou, de forma incorrecta as ordens, validamente inseridas (facto provado sob a alínea z), ou seja, que as operações efetuadas não se deveram a avaria técnica ou qualquer outra deficiência do serviço prestado pelo réu recorrente.
Apurado ficou ainda que as operações em causa não foram autorizadas, apesar de terem sido autenticadas com credenciais de acesso da autora ora recorrida e com a utilização do sistema de autenticação do cliente e que as operações realizadas foram autenticadas, registadas e contabilizadas.
Acontece porém que, como resulta das normas acima referidas, no caso de realização de operações de pagamento não autorizadas sobre a conta do cliente através da utilização de serviço de homebanking, com recurso a fraude informática e/ou burla, a responsabilidade do banco pelos danos sofridos pelo utilizador do serviço, no caso a autora, ora recorrida, apenas será afastada, uma vez alegado e provado que o dano em causa se deveu a actuação dolosa ou a negligência grosseira do utilizador do serviço.
Ou seja, o risco inerente à utilização e funcionamento dos serviços de pagamento recai sobre o prestador de serviços, cabendo a este, para se eximir dessa responsabilização, não só provar que a operação de pagamento foi devidamente autenticada, nos termos do nº 1 do artº 113º do RJSPME, mas ainda que o utilizador dos serviços de pagamento (ordenante) actuou de forma fraudulenta ou não cumpriu de forma deliberada uma ou mais das suas obrigações decorrentes do artº 110º do mesmo diploma legal, ou que actuou com negligência grosseira, nos termos dos nºs 3 e 4 do artº 113º do referido diploma legal.
No caso dos autos vem o réu, ora recorrente insurgir-se com a decisão do Tribunal a quo, que considerou afastado o comportamento negligente da autora recorrida, sendo certo que, esta entende não ter actuado com negligência grosseira.
Importa pois aferir se o comportamento da autora, ora recorrida pode qualificar-se como grosseiramente negligente.
A este propósito voltaremos a lançar mão do Acordão da Relação de Guimarães, já atrás citado quando refere “Considerando que o conceito de negligência grosseira não é densificado no RJSPME, deve buscar-se o mesmo na disciplina geral do direito civil.
A determinação da diligência exigível é feita em abstracto, ie, confrontando a actuação do agente no caso concreto com a actuação que uma pessoa média – o ‘bonus pater familias’ – nessa concreta situação teria, e não com a diligência habitual do autor da conduta negligente.
É o que resulta do disposto no art. 487º, n.º 2, do Cód. Civil: “A culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso”.
Henrique Sousa Antunes, in Comentário ao Código Civil, Direito das Obrigações, UCP, pág. 302 e 303, afirma que “uma classificação de origem romana distingue as situações de desleixo ou imprudência (negligência) entre culpa grave ou lata, leve e levíssima.(…) A falta de diligência do bom pai de família constitui a culpa leve. A inobservância do cuidado que apenas uma pessoa com diligência acima da média revelaria constitui uma culpa levíssima. É culpa grave a atuação que configure uma diligência inferior àquela «que até os homens medianamente negligentes adotam»(Vaz Serra)”.
Também Inocêncio Galvão Telles, in Direito das Obrigações, 6ª edição, pág. 349 e 350, nos diz que “quer a culpa grave, quer a culpa leve correspondem a condutas que uma pessoa normalmente diligente – o bonus pater familias – se absteria. A diferença entre elas está em que a primeira só por uma pessoa particularmente negligente se mostra susceptível de ser cometida. A culpa grave apresenta-se como uma negligência grosseira (…)”.
Ou, como se afirma no Ac. da Relação do Porto de 10.01.2023, disponível in www.dgsi.pt: “um acto qualificável como negligência grosseira, no âmbito da utilização de um sistema bancário electrónico de pagamentos, corresponde a um erro imperdoável, a uma desatenção inexplicável, a uma incúria inaceitável, por referência ao comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes”.
Assim, para que se considere um acto qualificável como negligência grosseira, é de exigir um nível de falta de cuidado mais elevado, um descuido ou desmazelo inadmissível para qualquer pessoa colocada naquela situação.
Donde resulta que a culpa grosseira ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do grau de diligência minimamente exigível e da observância de deveres de cuidado (resultantes da relação jurídica) ostensivamente evidentes, patentes e manifestos, traduzindo desconsideração do proceder expectável a qualquer comum utilizador do serviço de pagamento minimamente cuidadoso, apresentando-se como altamente reprovável à luz do mais elementar senso comum, revelando desconformidade com todos os padrões de referência (cfr. Ac. da Relação do Porto de 18.04.2023, acima citado).
A negligência grosseira será de afirmar, assim, quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de prudência e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas.
Ou seja, quando estivermos perante um comportamento que nunca por nunca seria adoptado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adoptar e/ou prosseguir (cfr. Ac. da Relação do Porto de 18.04.2023, acima citado).
Como se afirma no Ac. da Relação do Porto de 13.10.2016, in jurisprudência.pt: “O pharming é uma modalidade de fraude pela qual o utilizador é redirecionado pelo programa de navegação (browser) instalado no seu computador para uma página falsa, em tudo semelhante à verdadeira, quando digitaliza o endereço correto do serviço de banca on-line. Esta modalidade pode ser dirigida, não só a um computador pessoal mas a um servidor DNS (Domain Name System), sendo apelidado de “DNS poisoning”. Neste caso, será atingido um enorme número de utilizadores que digitem o endereço (URL) correto da página de C1…, que automaticamente, por alteração do endereço armazenado no DNS, são redirecionados para a página falsa. É, no essencial, o acesso direto a uma página que, sendo falsa, se pensa ser verdadeira, que carateriza o pharming.”.
Enquanto o phishing consiste no envio de mensagens de correio electrónico, aparentemente provindas da entidade bancária prestadora do serviço, com a finalidade de obtenção de dados confidenciais que permitam ao terceiro aceder ao serviço de pagamento electrónico.
Ambas as técnicas (técnicas fraudulentas que atingem o serviço de home banking) “supõem que o pirata informático tenha acesso à conta de um determinado cliente de um banco através do sistema de banca eletrónica, permitindo-lhe transferir os fundos aí inscritos a débito para outras contas. Este acesso não autorizado é conseguido, tanto no phishing, como no pharming, através da utilização das chaves de acesso a este serviço bancário que o próprio cliente do banco forneceu, ainda que inadvertidamente, ao criminoso através da internet.” (Cfr. Carolina França Barreira, ‘Home banking (…), p. 25)”.
Revertendo aos autos, afigura-se-nos estarmos perante uma situação de pharming, uma vez que no dia 16 de março de 2016, quando a autora procurou aceder ao serviço internet “Homebanking ...” da 2ª ré, e ao contrário do por si pretendido, sem o seu conhecimento e consentimento foi direcionada para o site da “internet” criado em data não concretamente apurada, mas seguramente anterior a 16 de março de 2016, por  terceiros cuja identidade não foi concretamente apurada, em tudo semelhante ao site do serviço internet “Homebanking ...” da 2ª ré.
Nesse site foram-lhe pedidas as coordenadas do seu cartão matriz que a autora introduziu, solicitação que foi justificada para garantia de maior segurança na operação pretendida, o que a Autora aceitou sem qualquer suspeita.
Destes factos temos de concluir, que nada fazia crer à autora ora recorrida que a página onde veio a introduzir as coordenadas do cartão matriz, não fosse o próprio endereço eletrónico/site do banco e isto porque o site da internet para o qual foi direcionada, era, em tudo semelhante ao site de serviço internet “Homebanking ..., da 2ª ré, introduzindo as coordenadas do seu cartão matriz (não se tendo apurado, pois a 2ª ré também não o demonstrou, ter aquela introduzido mais do que os números que por contrato a mesma podia introduzir).
Assim sendo, não podemos concluir que a actuação da autora e ora recorrida configure um erro indesculpável, em que nenhuma pessoa medianamente sagaz e cuidadosa incorreria.
Acresce que, como refere o Acordão que vimos seguindo “(…)a técnica de pharming é mais difícil de ser detectada do que o fishing. Com ela, as páginas fraudulentas são muitas vezes iguais às páginas do banco e identificadas como ligações seguras, pelo que, a censura que se possa atribuir ao utilizador poderá ser aqui bem diferente da que se exerce nas situações de fishing”.
Dos factos dados como provados, resulta que a autora ora recorrida não agiu deliberadamente em prejuízo do réu ora recorrente e que forneceu os dados que lhe foram pedidos, convencida de que o fazia a pedido do serviço de homebanking daquele (num site em udo igual ao daquele), para concluir a operação que pensava estar em curso.
Do comportamento levado a efeito pela autora, ora recorrida, não pode concluir-se pela existência de uma qualquer falta indesculpável, que só uma pessoa especialmente negligente, descuidada ou incauta deixaria de observar.
E, como refere o Acordão desta Relação de Guimarães que vimos citando “(…)só a violação deliberada do dever de sigilo dos dados pessoais e intransmissíveis ou a negligência grosseira da autora permitiriam o afastamento da responsabilidade o Banco”.
Acrescente-se que, mesmo que se tivessem, como pretendia a recorrente, dado como assente que a mesma publicou avisos, dicas e informações sobre a conduta a adoptar e as cautelas a observar, sempre entenderíamos que, tais factos não conduziriam à culpabilidade da autora, ora recorrida, uma vez que, para tal necessário era demonstrar, não só ter a mesma deles conhecimento e como os ter violado.
Ora, como refere o Acordão da Relação de Lisboa de 11 de abril de 2019, in www.dgsi.pt, também referido no Acordão da Relação de Guimarães que vimos seguindo “(… )o legislador faz recair sobre o banco a prova de que as operações de pagamento não foram efectuadas por avarias técnicas ou quaisquer outras deficiências, não bastando, para o efeito, socorrer-se do registo da operação de molde a demonstrar que ela foi autorizada pelo ordenante, tendo ainda de demonstrar que o cliente agiu de forma fraudulenta, ou não cumpriu deliberadamente ou por negligência grave algumas das suas obrigações previstas no artº 67º do DL 242/2012.
A opção pelo afastamento do ónus da prova a cargo do consumidor quanto ao mau funcionamento do sistema informático de homebanking, resulta da circunstância de ser o prestador de serviços de homebanking quem tem maior facilidade em demonstrar a versão factual que lhe aproveita, ou seja, a de que a utilização fraudulenta do serviço de homebanking por parte de terceiros não se deveu ao mau funcionamento do sistema informático.
No fundo, o legislador entendeu que o prestador de serviços é quem está em melhores condições, do que qualquer outro (incluindo o consumidor), para trazer a factualidade demonstrativa do modo como as coisas se passaram. E é assim, porque o funcionamento do “sistema informático” homebanking “pertencente à sua esfera de risco”, funcionando como critério suplementar de distribuição do ónus da prova, ou, melhor dizendo, ao “círculo de vida” em que o facto se produz: é a consagração da denominada teoria das esferas de risco, que preconiza uma ligação umbilical entre o ónus da prova e a dicotomia obrigações de meios/obrigações de resultado. (Cf. Hugo Luz dos Santos, “Plaidoyer por uma distribuição dinâmica do ónus de prova…”, cit., pág. 21 e segs.).”
Entendemos pois, como entendeu o Tribunal a quo, na sentença em crise, que a atuação da autora, ora recorrida não pode ser qualificada como deliberadamente em prejuízo do réu ou como negligência grosseira, concluindo-se assim, pela manutenção da decisão proferida.V. Decisão:

Nestes termos, acordam as Juízes desta 3ª Secção Cível do Tribunal da Relação de Guimarães em julgar improcedente a apelação, em consequência, mantem a decisão proferida pelo Tribunal a quo.
 Custas pelo recorrente.
Relatora: Margarida Pinto Gomes
Adjuntas: Anizabel Sousa Pereira
Sandra Melo