Quem foi o relator do acórdão 15455/20.9T8LSB.L1-6?

O relator foi Maria de Deus Correia, no Tribunal da Relação de Lisboa.

Quando foi proferido o acórdão 15455/20.9T8LSB.L1-6?

O acórdão foi proferido em 29 de setembro de 2022.

15455/20.9T8LSB.L1-6

Sumário

I-O designado “homebanking” enquadra-se no complexo negocial do contrato de abertura de conta bancária e concretiza-se na possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar todo um conjunto de operações bancárias, online, relativamente às contas de que sejam titulares, utilizando para o efeito meios informáticos. II-O “phishing” pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, designadamente através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), de forma a que este, ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente. III- A outra modalidade de fraude online é o “pharming” a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos “hackers”, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem, destinando-se ambas as técnicas (phishing e pharming) à obtenção fraudulenta de fundos. IV- Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta dos bancos, por a tal conduzir o disposto no artigo 796º, nº1 do C. Civil, não se tendo provado, como não se provou, que tivesse havido culpa dos Autores. (Pelo Relator)

Texto

Acordam na 6.ª secção do Tribunal da Relação de Lisboa: I-RELATÓRIO JT e MS, intentaram a presente acção declarativa de condenação, sob a forma de processo comum, contra: Caixa Económica Montepio Geral, Caixa Económica Bancária, S.A. peticionando que a R. seja condenada a pagar aos AA.: - A quantia de 11.970€, a título de reembolso do montante de operações não autorizadas; - A quantia de 8.787,62€, a título de juros vencidos; - A quantia que se vier a apurar a título de juros vincendos, até integral pagamento. Alegam para tanto e em síntese, o seguinte: Os Autores são titulares de uma conta bancária na instituição bancária ora Ré. Em 2015, indivíduos não identificados obtiveram as credenciais de acesso do serviço de homebanking do Montepio Geral relativos à conta dos Autores, com o intuito de movimentar as quantias ali depositadas. A obtenção de tais dados foi conseguida através do envio de mensagem remetida pelos indivíduos não identificados à A., MS, cotitular da conta, em que solicitavam o preenchimento das credenciais de acesso ao referido serviço de homebanking. Tal mensagem, por se assemelhar às mensagens legitimamente provenientes da instituição bancária em que estava domiciliada a conta em apreço, induziu em erro a Autora, a qual, convicta da genuinidade da proveniência da mensagem, forneceu as credenciais de acesso ao serviço homebanking, possibilitando que tais indivíduos pudessem, movimentar as contas através da internet. E desse modo, retiraram, contra a vontade dos Autores, a quantia de € 11.979,00. Devidamente citada, a Ré contestou a acção negando a sua responsabilidade pelo ocorrido e pede, por consequência, a improcedência da acção e a sua absolvição do pedido. Decorridos todos os trâmites legais, foi realizado o julgamento e, seguidamente, foi proferida sentença que julgou a acção totalmente improcedente e consequentemente absolveu a Ré do pedido. Inconformados com esta sentença os Autores interpuseram recurso de apelação, formulando as seguintes conclusões: 1.Com o presente recurso, pretendem os Recorrentes impugnar a douta sentença recorrida, que julgou “… a presente ação improcedente por não provada e, em consequência ...”, absolver o Réu dos pedidos. 2. A impugnação respeita às matérias de facto e de direito, especificando-se os seguintes pontos incorretamente julgados: 3.A Recorrente entende que, embora tinha sido considerado não provado “… que a A. cedeu todas as posições do cartão matriz”, devia ter sido dado como provado que a Autora cedeu, no máximo, 5 posições do cartão matriz. A própria douta sentença recorrida, na fundamentação da matéria de facto, afirma expressamente que a Autora “… não comunicou todas as posições do cartão matriz, tendo inserido apenas 5 posições, ou seja, todas as que lhe foram solicitadas naquele momento …” 3. A Autora em depoimento de parte e em acareação realizados em sede audiência de julgamento afirmou o seguinte: (…) 4.Tendo em conta o relevante interesse para a boa decisão da causa, deve ser considerado provado o facto de a Autora ter cedido no máximo, 5 posições do cartão matriz. 5. Quanto ao direito, a douta sentença recorrida imputou negligência grave à conduta da Autora e, por isso, ao abrigo do artigo 67.º do RSP afasta a responsabilidade do Réu. Contudo e salvo melhor opinião, os factos provados, designadamente os constantes nos pontos 2 a 6 e 19 a 21 da matéria de facto provada, não são adequados a tal imputação. 6. Não ficou provado quais as posições do cartão matriz utilizadas para validar as transferências fraudulentas, nem o modo como foram obtidas pelos delinquentes. Para se realizarem 6 transferências torna-se necessário introduzir 12 posições do cartão matriz, 2 por transferência. A Autora cedeu, no máximo, 5 posições. Assim, não foi certamente por causa da sua conduta que foram introduzidas as 12 posições corretas do cartão matriz solicitadas pelo sistema informático com vista à validação das referidas transferências fraudulentas. Assim, não podemos qualificar a conduta da Autora como tendo sido pautada com negligência grave. A Jurisprudência supra indicada afasta-se do caminho seguido pela douta sentença recorrida, não imputando negligência grave a situações idênticas à analisada nos presentes autos. 7. Pela grande importância que revestem na análise da questão sub judice, nunca é demais referir os Acórdãos do Supremo Tribunal de Justiça e do Tribunal da Relação de Lisboa, prolatados ambos no âmbito do processo n.º 1063/12.1TVLSB, onde se sustenta solução idêntica à que os Recorrentes defendem no presente recurso. 8.Esta Jurisprudência analisa os riscos das operações realizadas através de homebanking inseridas no “contrato de abertura de conta”, concluindo que na “relação bancária geral” corre pelo banco o risco do que possa acontecer na conta do cliente sem que a este possa ser imputável, ao abrigo do disposto no artigo 796.º, n.º 2, do Código Civil. 9.No Acórdão do Tribunal da Relação de Lisboa, de 15 de março de 2016, prolatado no Processo: n.º 1063/12.1TVLSB.L1-1, foi elaborada a seguinte síntese do enquadramento legal resultante do Decreto-Lei n.º 317/2009: I-“… as disposições do RSP são imperativas (artº 51º, nºs 1 e 3, da Directiva e artº 62º, nºs 1 e 2 do RSP), irrelevando o que eventualmente as partes possam ter convencionado em contrário. II-A aferição da diligência devida pelo utilizador do serviço de pagamentos no cumprimento das condições de utilização desse serviço deve ser feita segundo critérios de razoabilidade (artº 56º, nº 2, da Directiva e artº 67º, nº 2, do RSP). III- Caso o utilizador do serviço negue ter autorizado uma operação, o prestador do serviço só pode exonerar-se de responsabilidade, competindo ao utilizador suportar todas as perdas, se fizer a prova: i) não só de que a operação foi, sem afectação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada; ii) como também que ela se ficou a dever a fraude do utilizador ou a incumprimento doloso ou gravemente negligente por parte deste das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes referentes à segurança ou fiabilidade do instrumento de pagamento (artigos 59º e 61º, nº 2, da Directiva e artigos 70º e 72º, nº 2 do RSP). IV- Não logrando fazer essa prova o prestador do serviço fica obrigado a reembolsar imediatamente o montante do pagamento não autorizado, repondo a conta debitada na situação em que se encontraria se a operação não autorizada não tivesse sido executada, e pagando juros moratórios acrescidos no caso de atraso no reembolso (artº 60º da Directiva e artº 71º do RSP). V-No caso, porém, de incumprimento gravemente negligente por parte do utilizador das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes, a responsabilidade deste pode ser reduzida, tendo em conta as circunstâncias do caso, até ao limite do saldo ou da linha de crédito associada à conta ou instrumento de pagamento artigo 61º, nº 3, da Directiva e artigo 72º, nº 3, do RSP). VI Provando que a operação foi, sem afectação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada mas de que esta resultou de perda ou roubo do instrumento de pagamento ou sua apropriação abusiva por o utilizador não terassegurado a confidencialidade dos dispositivos de segurança, cabe ao utilizador, com nessa parte, derrogação da responsabilidade do prestador, arcar com as perdas relativas até ao montante máximo de € 150 (artigo 61º, nº 1, da Directiva e artigo 72º, nº 1, do RSP). Salvo em caso de fraude, o utilizador não tem qualquer responsabilidade por operações não autorizadas realizadas após a comunicação de vicissitude referente à segurança ou fiabilidade do instrumento de pagamento; ou após o momento em que não efectuou essa comunicação por o prestador do serviço não fornecer os meios adequados para o efeito (artigo 61º, nºs 4 e 5, da Directiva e artigo 72º, nºs 4 e 5, do RSP).” Aplicando esta Jurisprudência ao caso em apreço, não podemos qualificar a atuação da Autora como tendo praticada com negligência grave. Entende o referido Acórdão que “Negligência grave (ou grosseira) corresponde à falta grave e indesculpável, consistente na omissão dos deveres a que se está adstrito que só uma pessoa especialmente desleixada, descuidada e incauta deixaria de observar. Nem, pela própria natureza das coisas, se pode qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’, ‘pharming’, ‘keylogging’) como gravemente negligente. É que essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder ser qualificada como grosseiramente negligente ela não pode ser susceptível de ser levada a cabo por um número significativo dos homens médios.” Portanto, o caso em apreço no presente recurso enquadra-se nos pontos III e IV da síntese acima elaborada. Não existindo prova de como foram obtidas posições do cartão matriz utilizadas para validar as transferências fraudulentas não se pode afirmar que tal se ficou a dever à atuação da Autora. 9. O Supremo Tribunal de Justiça, no Acórdão prolatado em sede de recurso, sufragou na íntegra a Jurisprudência recorrida, não apontando qualquer irregularidade e abstendo de promover qualquer censura. 10. Por tudo o que aqui se afirmou, não é possível imputar negligência grave à conduta da Autora. Por isso, não foi realizada prova cabal dos factos que permitem a isenção da responsabilidade que recai sobre o Recorrido, devendo ser condenado a repor imediatamente na conta bancária do Recorrentes os valores fraudulentamente transferidos, acrescidos dos juros moratórios vencidos e vincendos peticionados por estes (artigo 71º, nº 1). 11. Assim, tendo em conta os factos provados, a douta sentença recorrida deve ser anulada, por erro de julgamento e, consequentemente, tomada deliberação que, dando provimento ao presente recurso, condene o Recorrido nos pedidos formulados pelos Recorrentes. Termos em que, deve o presente recurso merecer provimento e, em consequência, ser revogada a douta sentença recorrida, assim se fazendo a costumada Justiça. A Ré apresentou contra alegações nas quais defendeu a confirmação da sentença recorrida Colhidos os vistos legais, cumpre apreciar e decidir: II-OS FACTOS Na 1.ª instância foram dados como provados os seguintes factos: 1) Os AA são titulares da conta bancária com o n.º ... aberta junto da R., Caixa Económica Montepio Geral. 2) Em data não concretamente apurada, mas seguramente anterior a 16 de abril de 2015, indivíduos não identificados obtiveram as credenciais de acesso do serviço de homebanking do Montepio Geral relativos à conta com o n.º ..., titulada pelos AA., com o intuito de movimentar as quantias monetárias aí depositadas sem a permissão dos respetivos titulares. 3) A obtenção de tais dados foi conseguida através do envio de mensagem remetida pelos indivíduos não identificados à A., MS, cotitular da conta, em que solicitavam o preenchimento das credenciais de acesso ao referido serviço de homebanking. 4) Tal mensagem, por se assemelhar às mensagens legitimamente provenientes da instituição bancária em que estava domiciliada a conta em apreço, induziu em erro a titular da conta bancária, a qual, convicta da genuinidade da proveniência da mensagem, forneceu as credenciais de acesso ao serviço homebanking, possibilitando que tais indivíduos pudessem, livremente, movimentar as contas através da internet. 5) Munidos das credenciais de acesso ao serviço de homebanking, os indivíduos desconhecidos ordenaram: -No dia 15 de abril de 2015, duas transferências: uma no montante de 1.995,00€ e outra no montante de 1.993,00€. -No dia 16 de abril de 2015, outras duas transferências: uma no montante de 1.990,00€ e outra no montante de 1.994,21€, todas da conta n.º ..., cotitulada por MS, para a conta n.º ..., do Montepio Geral, titulada por CC, titular do Título de Residência n.º ..., residente na Rua …, Amadora. 6) Os indivíduos desconhecidos ordenaram ainda: - No dia 17 de abril de 2015, outras duas transferências: uma no montante de 2.000,00€ e outra no montante de 1.998,00€,ambas da conta n.º ..., titulada por MS, para a conta n.º ..., do Montepio Geral, titulada por …, titular do cartão de cidadão n.º ..., residente na Rua … Paço de Arcos. 7) Logo que teve conhecimento das transferências fraudulentas, a A. dirigiu-se à Policia Judiciária e apresentou queixa-crime, que deu origem ao processo n.º 233/15.5JDFLSB, que correu termos no Juiz 14 do Juízo Local Criminal de Lisboa do Tribunal Judicial da Comarca de Lisboa. 8) No referido processo, foi proferida sentença em 20.12.2018, já transitada em julgado, que absolveu os arguidos CC e DD da prática dos crimes imputados na acusação, com os fundamentos constantes de fls. 126 e ss. 9) Apresentada a queixa, em 20 de abril de 2015, os AA. apresentaram reclamação junto da R. 10) Em 18 de maio de 2015, a R. respondeu, nos termos constantes de fls. 38/39. 11) A R. tem por objeto social, entre outros, a realização de todas as operações permitidas por lei aos bancos. 12) No âmbito da sua actividade, a R. presta um serviço de “homebanking”, designado por “Montepio24”, tendo a A. aderido à vertente desse serviço oferecida pela R. a clientes particulares, “Montepio24 – Particulares”, nos termos constante de contrato celebrado entre a R. e a A., em 20 de Novembro de 2014, cuja formalização, ocorreu no Balcão da CEMG, da Rua de São José. 13) Por via da adesão ao serviço homebanking, os AA. têm a possibilidade de aceder a informações sobre produtos e serviços da R., realizar operações sobre as contas que titulam, realizar operações de compra e venda, subscrição ou resgate de produtos financeiros ou serviços disponibilizados pela Caixa Económica aos seus clientes. 14) Para usufruírem deste serviço a R. atribuiu aos AA. códigos de acesso/credenciais de utilização. 15) Os quais são pessoais e intransmissíveis e funcionam a três níveis de segurança, designadamente: a) Número de identificação Montepio, atribuído e entregue ao cliente no momento da adesão; b) Número PIN multicanal, composto por seis dígitos, atribuído e entregue ao cliente no momento da adesão (permitindo estas duas credenciais apenas a realização de operações e consultas que não comportem alterações de património); c) Cartão Matriz (que consiste num cartão e coordenadas com 72 posições, cada uma com 3 dígitos, para validação de operações passíveis de alteração do património detida pelos AA. na R. 16) Sendo o cartão matriz remetido via CTT para o endereço dos clientes em estado de pré-ativo, apenas sendo passível de ser ativo pelos clientes mediante validação de códigos de acesso (através do número de cliente e do PIN multicanal). 17) A partir do momento da adesão ao referido serviço de homebanking, os AA. apenas autorizaram o Montepio a realizar as operações ordenadas através daquele meio electrónico. 18) Tratando-se de operações (em resultado de ordens dadas pelo cliente na plataforma de homebanking) em que não se observe uma saída de património da conta titulada pelo cliente observa-se o nível de segurança a) e b): - Primeiro, a introdução do seu número de identificação Montepio do cliente; - Em segundo lugar, a introdução de um código PIN multicanal, pessoal e intransmissível composto por seis dígitos. 19) Tratando-se de saída de património da esfera do cliente, acrescerá um nível de segurança – uma posição aleatória e irrepetível constante do cartão matriz, que tem inscritas coordenadas com 72 posições, cada uma com 3 dígitos. 20) Na situação acima exposta, tal validação foi efetivamente recebida na plataforma Montepio24, validação essa sem a qual não teria sido possível ter ocorrido qualquer saída de valores da conta. 21) Tal validação não teve a intervenção dos AA. 22) A R. alerta constantemente os utilizadores do serviço Montepio24, em todos os acessos ao Montepio24, após introdução dos dígitos correspondentes ao código de identificação de utilizador do Montepio24 e imediatamente antes da introdução do código de acesso personalizado, com a configuração de fls. 68v/69, do sítio institucional de CEMG, desde Novembro de 2006). 23) Tais avisos traduzem os cuidados de segurança e boas práticas a ter, pelos clientes na utilização do serviço de homebanking. Mais foi decidido quanto a factos não provados: “Não se provou que CC e DD previram e quiseram proceder ao levantamento das quantias fraudulentamente transferidas para a sua conta bancária, cientes da origem ilícita das transferências realizadas. Não se provou que, sem que a R. tenha tomado as devidas precauções para o evitar, terceiros não autorizados, com acesso aos dados do cartão matriz, movimentaram a referida conta bancária. Não se provou que a R. não garantiu a segurança do seu sistema informático de serviços bancários vulgo homebanking, nomeadamente transferências bancárias. Não se provou que a A. cedeu todas as posições do cartão matriz”. III-O DIREITO Tendo em conta as conclusões de recurso formuladas que delimitam o respectivo âmbito de cognição deste Tribunal, as questões que importa conhecer são as seguintes: 1-Impugnação da decisão sobre a matéria de facto 2-Saber se a Ré é responsável pelo pagamento do valor peticionado, resultante dos movimentos bancários não autorizados pelos AA, questão que envolve resposta à questão da existência de negligência grave por parte da Autora 1-Relativamente à matéria de facto provada, a Recorrente entende que, embora tinha sido considerado não provado “… que a A. cedeu todas as posições do cartão matriz”, devia ter sido dado como provado que a Autora cedeu, no máximo, 5 posições do cartão matriz. E fundamenta a sua pretensão no depoimento da Autora, MS e a acareação realizada entre a Autora e a Testemunha LF. Na verdade, ouvidos os depoimentos e a referida acareação, ficou esclarecido que a Autora ao ter referido perante a Ré que “deu todos os números”, quis significar que deu todos os números que lhe pediram e não todos os números do cartão matriz. Na verdade, afirmou que não indicou todas as posições do cartão matriz. Porém, a Autora não obstante a “serenidade, convicção e coerência” com que depôs, como é reconhecido na sentença recorrida, não foi capaz de concretizar com absoluta certeza, o que é normal quantos números introduziu. Referiu a Autora que “não sabe quantos…mais ou menos.” “cinco ou seis”. E, após, o sistema bloqueou e já não conseguiu fazer o pagamento que pretendia fazer ao aceder ao sistema, tendo ido fazer o pagamento ao Multibanco. Ainda assim, no contesto referido, cremos que a prova produzida permite dar como provado o seguinte: “24- a Autora cedeu número não concretamente apurado de posições do cartão matriz, entre cinco e seis.” Decide-se aditar tal facto ao elenco de factos provados constituindo o n.º 24). Porém, afigura-se que é relevante para a boa decisão da causa explicitar o contexto em que a Autora forneceu essas posições do cartão matriz, facto que não resulta com clareza do elenco dos factos provados. Contudo, tal foi claramente explicado pela Autora no seu depoimento prestado em julgamento que coincide com aquele que foi prestado no âmbito do processo - crime que correu termos sob o n.º 233/15.5JDLSB no Juízo Local Criminal de Lisboa, Juiz 14, como se pode ver da sentença proferida em 20/12/2018 que se encontra junta com a petição inicial. Assim, em conformidade com essa prova, nos termos do art.º 5 n.º 2 b) e 662.º n.º1 do CPC, adita-se ao elenco de factos provados os seguinte: “25- No momento em que a Autora acedeu electronicamente à sua conta referida em 1), a fim de proceder ao pagamento de uma factura de fornecimento de água, surgiu-lhe no écran do computador uma mensagem dizendo que o prazo do seu cartão estava prestes a expirar e pedindo que a Autora procedesse à alteração das credenciais de acesso à sua conta bancária por via electrónica.” “26-Convicta de que a mensagem estava a ser enviada pelo Montepio, a Autora cedeu as credenciais de acesso bem como os números a que faz referência no ponto 24)” 2-Importa agora analisar a questão de saber se a Ré é responsável pelo pagamento do valor peticionado, resultante dos movimentos bancários não autorizados pelos AA. Tal como bem se diz na sentença recorrida, “Nos autos está em causa um contrato designado por homebanking, que as partes não discutem. Há uma relação negocial complexa que foi iniciada através de um contrato de abertura de conta, com um depósito de quantias monetárias numa conta, por parte dos AA., e no âmbito da qual as partes inscreveram um novo contrato destinado a permitir a consulta e movimentação da conta através da internet. Em resultado da evolução tecnológica, surgiu um contrato que permite às partes um conjunto de benefícios. Os bancos libertam-se de meios humanos, simplificam processos e operações. Os clientes desfrutam de um acesso mais continuado, mais rápido e mais fácil”. Sucede que, no caso presente, algo correu mal, pois no decurso de uma operação no âmbito da utilização por parte da Autora dos serviços de homebanking, ocorreu um desvio de uma determinada quantia da conta dos Autores, contra a vontade destes, por acção de terceiros e da qual estes ficaram desembolsados. Estamos no âmbito do designado “phishing” que pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este, ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente”[1]. A outra modalidade de fraude online é o “pharming” a qual “consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos hackers, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem, destinando-se ambas as técnicas (phishing e pharming) à obtenção fraudulenta de fundos”. Os contornos do presente caso mais se assemelham à fraude designada por “pharming”. Os factos em apreço ocorreram após a entrada em vigor do Decreto-Lei n.º 317/2009, de 30/10, alterado pelos Decretos-Lei n.º 242/2012, de 07/11, 157/2014, de 24.10 e 91/2018 de 12-11), sendo este o regime jurídico aplicável. Este decreto-lei vem transpor para a ordem jurídica interna “o novo enquadramento comunitário em matéria de serviços de pagamento, que tem em vista assegurar condições de concorrência equitativas entre todos os sistemas de pagamentos no espaço comunitário e preservar a escolha do consumidor em melhores condições de segurança, eficácia e eficiência de custos. O presente decreto-lei está organizado em cinco títulos, tendo os aspectos essenciais do regime comunitário sido transpostos nos títulos ii e iii, em ampla sintonia com a organização sistemática adoptada pela própria directiva. O título ii regula as matérias respeitantes aos prestadores de serviços de pagamento, abrangendo as matérias relativas ao acesso à actividade de prestação destes serviços e às condições de acesso e de exercício da actividade das instituições de pagamento, que correspondem ao novo tipo de prestadores de serviços de pagamento introduzido pela directiva. Entre outros aspectos da disciplina das instituições de pagamento, destacam-se as regras sobre o processo de autorização e registo, as normas respeitantes à sua supervisão e as disposições que concretizam o designado passaporte comunitário. O título iii trata, por um lado, dos deveres de informação pré-contratual e pós-contratual e, por outro, das normas que devem conformar os direitos e as obrigações contratuais dos utilizadores e dos prestadores de serviços de pagamento”.[2] Nos termos do art.º 67.º n.º 1 e 2 do referido diploma, são obrigações do utilizador dos serviços de pagamento: “a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; e b) Comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento”. 2-Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados”. Por seu turno, o art.º 68.º do mesmo diploma determina as obrigações do prestador de serviços de pagamento associados aos instrumentos de pagamento e que são designadamente as seguintes: “a)assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior”. E dispõe o art.º 70.º: “1. Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi correctamente efectuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência. 2. Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67.º”. Regula ainda o art.º 72.º do mesmo diploma legal a responsabilidade do ordenante por operações de pagamento não autorizadas, resultantes de perda, de roubo ou da apropriação abusiva de instrumentos de pagamento. Assim, nos termos do n.º 4, “após ter procedido à notificação a que se refere a alínea b) do art.º 67.º, o ordenante não suporta quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, roubado ou abusivamente apropriado, salvo em caso de actuação fraudulenta”. Resulta das boas regras de conduta impostas por lei aos bancos (arts. 73.º a 75.º do RGICSF) que os serviços de pagamento presenciais ou electrónicos prestados aos seus clientes, deve ser, não só de qualidade e eficiente, mas também serviço seguro…". "Ao prestador dos serviços bancários cabe, pois, por lei, assegurar a qualidade e segurança do sistema que permita movimentar a conta apenas a quem tem legitimidade, depositando, levantando ou transferindo fundos. O risco de funcionamento deficiente ou inseguro do sistema de prestação de serviços de pagamento ou transferência localiza-se, portanto, na esfera do seu prestador, a quem incumbe a responsabilidade por operações não autorizadas pelo cliente nem devidas a causa imputável ao cliente". [3] Daí que recaiam sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema, impendendo ainda sobre este o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência. Por outro lado, o utilizador do serviço de pagamento tem de dispor de um conjunto de dispositivos de segurança (código de acesso, cartão matriz, etc.) que lhe vão permitir aceder a esse serviço, sendo responsável pela boa utilização desses mesmos dispositivos. Ora, sendo inteiramente correcto o enquadramento jurídico da questão elaborado pela sentença recorrida, já não acompanhamos o raciocínio da mesma quanto à atribuição de responsabilidade à Autora afirmando que esta “fez uma utilização incorreta das credenciais que o banco lhe forneceu para aceder ao homebanking, dando-as a terceiros de uma forma contraditória com a lógica do sistema de segurança para que as credenciais servem”. Não é isso que resulta da análise dos factos provados. A Autora não forneceu quaisquer credenciais de segurança a terceiros, voluntariamente. O que sucedeu foi que no momento em que a Autora acedeu eletronicamente à sua conta referida em 1), dos factos provados, a fim de proceder ao pagamento de uma factura de fornecimento de água, surgiu-lhe no écran do computador uma mensagem dizendo que o prazo do seu cartão estava prestes a expirar e pedindo que a Autora procedesse à alteração das credenciais de acesso à sua conta bancária por via electrónica. E, então, convicta de que a mensagem estava a ser enviada pelo Montepio, a Autora cedeu os números a que faz referência o ponto 24 da factualidade provada. Donde se tem necessariamente de concluir que, imediatamente após a Autora ter acedido eletronicamente à sua conta, alguém de forma fraudulenta conseguiu introduzir-se no sistema enviado a mensagem, como se a mesma fosse enviada pelo Montepio. Ou então, a Autora pensando estar na página do Montepio, eventualmente terá entrado numa página Web falsa, vítima de uma fraude designada supra por “pharming”. E, assim, a Autora só forneceu os números do cartão matriz porque estava convicta de que os estava a fornecer ao Montepio. Não se nos afigura que tal atitude possa ser qualificada como negligência grave. Negligência grave (ou grosseira) corresponde à falta grave e indesculpável, consistente na omissão dos deveres a que se está adstrito que só uma pessoa especialmente desleixada, descuidada e incauta deixaria de observar[4]. Ora, sucede que nas circunstâncias em apreço, qualquer pessoa, medianamente sagaz e cuidadosa, poderia ser induzida em erro e ser levada a ter exactamente o mesmo comportamento que a Autora teve. De resto, “nem, pela própria natureza das coisas, se pode qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’, ‘pharming’, ‘keylogging’) como gravemente negligente. É que essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder ser qualificada como grosseiramente negligente ela não pode ser susceptível de ser levada a cabo por um número significativo dos homens médios.”[5] Ora, resulta do regime jurídico supra referido que corre pelo entidade bancária o risco do que pode acontecer na conta do cliente sem que a este seja imputável, conforme, além do mais decorre igualmente do disposto no art.º 796.º n.º2 do Código Civil. Mesmo antes da aplicação da vigência da directiva comunitária já o entendimento era o de que “ feita a prova do depósito do dinheiro (…) e não se provando a culpa do depositante, corre pelo Banco o risco do seu extravio.”[6] Coloca-se assim, a questão de saber, neste caso em concreto, até que ponto a Ré Caixa Económica Montepio Geral, cumpriu todas as obrigações contratuais. Se o Banco está obrigado a “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior”, resulta de tal obrigação constante do art.º 68.º a) do D.L. n.º 317/2009, que corre pelo Banco o risco de uma utilização abusiva do sistema de pagamento através de homebanking caso o titular tenha cumprido todas as suas obrigações, como sucede no caso que nos ocupa. Nessas circunstâncias, só as entidades bancárias, estão em condições de “assegurar que os dispositivos de segurança” desse sistema, só sejam acessíveis ao legítimo utilizador. Assim, perante as características da entrada abusiva de terceiros na conta bancária dos Autores, tal como vem descrito na matéria de facto provada, a Ré Montepio Geral, no âmbito das suas obrigações contratuais, deveria ter accionado mecanismos de alerta/controlo de forma a detectar a entrada abusiva de terceiros no sistema informático, garantindo que só a Autora o pudesse fazer. O caso concreto é um exemplo em que essas medidas de segurança falharam. Nem se diga que a Autora incumpriu as suas obrigações contratuais ao fornecer números de seu cartão matriz, pois se os não tivesse fornecido, não teria ocorrido a apropriação indevida dos montantes em causa. Não procede tal raciocínio porque a questão coloca-se a montante desse facto. Coloca-se no momento em que terceiros tiveram acesso à página informática, no momento em que a Autora ali entrou também, ou conseguem “copiar” ou “clonar” a página do Montepio. Não sabemos exactamente como a fraude ocorreu. Nestas condições, é praticamente impossível ao titular da conta perceber que não está a comunicar com a entidade bancária, e que está a ser vítima de uma fraude. Ora, é nesse momento em que terceiros entram no sistema informático de forma desconhecida que se revela a fragilidade desse sistema, competindo ao Banco reforça-lo, de forma a impedir que tal possa ocorrer. Sucede que o risco dos danos causados pela fragilidade do sistema pertence ao banco, solução que se justifica inteiramente, tendo em conta que a instituição de sistema de pagamentos eletrónicos não é benéfica apenas para o titular, indo ainda de encontro aos interesses do banco, na medida em que diminui os seus custos operativos, nomeadamente com funcionários. Nessa medida, os bancos estão adstritos a apertados deveres de segurança, devendo garantir a confidencialidade e integridade dos sistemas informáticos de que se socorrem para operacionalizar as transações eletrónicas. Ora, no caso concreto, está bem patente que a Ré não logrou provar o cumprimento desse dever de garantir a confidencialidade e integridade do sistema informático. Esse dever não ficou garantido pelo simples facto de cumprir os avisos mencionados nos artigos 22 e 23 dos factos provados. Na verdade, esses avisos destinam-se ao cumprimento por parte dos titulares das contas de regras de prudência e de segurança que já vimos não foram desrespeitados pelos Autores. Foi antes a Ré que, a montante, não cumpriu os deveres que a si competia, os já mencionados deveres de garantir a confidencialidade e integridade do sistema informático, E para tanto os Bancos têm de estar constantemente a actualizar os sistemas de forma a prevenir a actuação fraudulenta de terceiros que agem, precisamente, no sentido de permanentemente frustrar essas medidas de segurança com métodos sempre mais sofisticados, tentando e, por vezes conseguindo, estar “um passo à frente” das suas vítimas. A responsabilidade contratual é apreciada nos termos do disposto no art.º 799.º n.º 2 do Código Civil, ou seja, o ónus da prova de que o incumprimento não procede de culpa sua, incumbe à Ré, ora Apelada. Logo, não tendo sido feita essa prova, é a Ré responsável pelo reembolso das quantias peticionadas. Procede o recurso. IV-DECISÃO Face ao exposto, acordamos neste Tribunal da Relação de Lisboa em julgar o recurso procedente e, por consequência, revogando a decisão recorrida, condenar a Ré a reembolsar os Autores na quantia de € 11.970,00, acrescida de juros vencidos e vincendos, à taxa legal, desde a data da citação até integral pagamento. Custas pela Ré. Lisboa, 29 de Setembro de 2022 Maria de Deus Correia Maria Teresa Pardal Anabela Calafate (vencida conforme declaração de voto que segue) Voto vencida por entender que dos factos provados resulta manifesta culpa grave da apelante, pelo que confirmaria a sentença recorrida. Anabela Calafate _______________________________________________________ [1] Vide Acórdão do STJ de 18-12-2013, Processo 6479/09, disponível em www.dgsi.pt [2] Vide preâmbulo do referido diploma legal.. [3] Vide Calvão da Silva , Direito Bancário, p.348. [4] Vide a este propósito, Acórdão do STJ de 13-12-2007 P. 0753655, disponível em www.dgsi.pt [5] Acórdão do TRL de 15-03-2016, disponível em www.dgsi.pt. [6] Acórdão do TRC de 21-05-1996, CJ, 1996, 3.º- 17.

Sumário

II- O “phishing” pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, designadamente através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), de forma a que este, ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente.

III- A outra modalidade de fraude online é o “pharming” a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos “hackers”, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem, destinando-se ambas as técnicas (phishing e pharming) à obtenção fraudulenta de fundos.

IV- Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta dos bancos, por a tal conduzir o disposto no artigo 796º, nº1 do C. Civil, não se tendo provado, como não se provou, que tivesse havido culpa dos Autores.

(Pelo Relator)

Texto Integral

Acordam na 6.ª secção do Tribunal da Relação de Lisboa:

I- RELATÓRIO

JT e MS, intentaram a presente acção declarativa de condenação, sob a forma de processo comum, contra:

Caixa Económica Montepio Geral, Caixa Económica Bancária, S.A. peticionando que a R. seja condenada a pagar aos AA.:

- A quantia de 11.970€, a título de reembolso do montante de operações não autorizadas;

- A quantia de 8.787,62€, a título de juros vencidos;

- A quantia que se vier a apurar a título de juros vincendos, até integral pagamento.

Alegam para tanto e em síntese, o seguinte:

Os Autores são titulares de uma conta bancária na instituição bancária ora Ré. Em 2015, indivíduos não identificados obtiveram as credenciais de acesso do serviço de homebanking do Montepio Geral relativos à conta dos Autores, com o intuito de movimentar as quantias ali depositadas. A obtenção de tais dados foi conseguida através do envio de mensagem remetida pelos indivíduos não identificados à A., MS, cotitular da conta, em que solicitavam o preenchimento das credenciais de acesso ao referido serviço de homebanking.

Tal mensagem, por se assemelhar às mensagens legitimamente provenientes da instituição bancária em que estava domiciliada a conta em apreço, induziu em erro a Autora, a qual, convicta da genuinidade da proveniência da mensagem, forneceu as credenciais de acesso ao serviço homebanking, possibilitando que tais indivíduos pudessem, movimentar as contas através da internet. E desse modo, retiraram, contra a vontade dos Autores, a quantia de € 11.979,00.

Devidamente citada, a Ré contestou a acção negando a sua responsabilidade pelo ocorrido e pede, por consequência, a improcedência da acção e a sua absolvição do pedido.

Decorridos todos os trâmites legais, foi realizado o julgamento e, seguidamente, foi proferida sentença que julgou a acção totalmente improcedente e consequentemente absolveu a Ré do pedido.

Inconformados com esta sentença os Autores interpuseram recurso de apelação, formulando as seguintes conclusões:

1. Com o presente recurso, pretendem os Recorrentes impugnar a douta sentença recorrida, que julgou “… a presente ação improcedente por não provada e, em consequência ...”, absolver o Réu dos pedidos.

2. A impugnação respeita às matérias de facto e de direito, especificando-se os seguintes pontos incorretamente julgados:

3. A Recorrente entende que, embora tinha sido considerado não provado “… que a A. cedeu todas as posições do cartão matriz”, devia ter sido dado como provado que a Autora cedeu, no máximo, 5 posições do cartão matriz.

A própria douta sentença recorrida, na fundamentação da matéria de facto, afirma expressamente que a Autora “… não comunicou todas as posições do cartão matriz, tendo inserido apenas 5 posições, ou seja, todas as que lhe foram solicitadas naquele momento …”

3. A Autora em depoimento de parte e em acareação realizados em sede audiência de julgamento afirmou o seguinte: (…)

4. Tendo em conta o relevante interesse para a boa decisão da causa, deve ser considerado provado o facto de a Autora ter cedido no máximo, 5 posições do cartão matriz.

5. Quanto ao direito, a douta sentença recorrida imputou negligência grave à conduta da Autora e, por isso, ao abrigo do artigo 67.º do RSP afasta a responsabilidade do Réu. Contudo e salvo melhor opinião, os factos provados, designadamente os constantes nos pontos 2 a 6 e 19 a 21 da matéria de facto provada, não são adequados a tal imputação.

6. Não ficou provado quais as posições do cartão matriz utilizadas para validar as transferências fraudulentas, nem o modo como foram obtidas pelos delinquentes. Para se realizarem 6 transferências torna-se necessário introduzir 12 posições do cartão matriz, 2 por transferência. A Autora cedeu, no máximo, 5 posições. Assim, não foi certamente por causa da sua conduta que foram introduzidas as 12 posições corretas do cartão matriz solicitadas pelo sistema informático com vista à validação das referidas transferências fraudulentas. Assim, não podemos qualificar a conduta da Autora como tendo sido pautada com negligência grave.

A Jurisprudência supra indicada afasta-se do caminho seguido pela douta sentença recorrida, não imputando negligência grave a situações idênticas à analisada nos presentes autos.

7. Pela grande importância que revestem na análise da questão sub judice, nunca é demais referir os Acórdãos do Supremo Tribunal de Justiça e do Tribunal da Relação de Lisboa, prolatados ambos no âmbito do processo n.º 1063/12.1TVLSB, onde se sustenta solução idêntica à que os Recorrentes defendem no presente recurso.

8. Esta Jurisprudência analisa os riscos das operações realizadas através de homebanking inseridas no “contrato de abertura de conta”, concluindo que na “relação bancária geral” corre pelo banco o risco do que possa acontecer na conta do cliente sem que a este possa ser imputável, ao abrigo do disposto no artigo 796.º, n.º 2, do Código Civil.

9. No Acórdão do Tribunal da Relação de Lisboa, de 15 de março de 2016, prolatado no Processo: n.º 1063/12.1TVLSB.L1-1, foi elaborada a seguinte síntese do enquadramento legal resultante do Decreto-Lei n.º 317/2009:

I- “… as disposições do RSP são imperativas (artº 51º, nºs 1 e 3, da Directiva e artº 62º, nºs 1 e 2 do RSP), irrelevando o que eventualmente as partes possam ter convencionado em contrário.

II- A aferição da diligência devida pelo utilizador do serviço de pagamentos no cumprimento das condições de utilização desse serviço deve ser feita segundo critérios de razoabilidade (artº 56º, nº 2, da Directiva e artº 67º, nº 2, do RSP).

III- Caso o utilizador do serviço negue ter autorizado uma operação, o prestador do serviço só pode exonerar-se de responsabilidade, competindo ao utilizador suportar todas as perdas, se fizer a prova: i) não só de que a operação foi, sem afectação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada; ii) como também que ela se ficou a dever a fraude do utilizador ou a incumprimento doloso ou gravemente negligente por parte deste das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes referentes à segurança ou fiabilidade do instrumento de pagamento (artigos 59º e 61º, nº 2, da Directiva e artigos 70º e 72º, nº 2 do RSP).

IV- Não logrando fazer essa prova o prestador do serviço fica obrigado a reembolsar imediatamente o montante do pagamento não autorizado, repondo a conta debitada na situação em que se encontraria se a operação não autorizada não tivesse sido executada, e pagando juros moratórios acrescidos no caso de atraso no reembolso (artº 60º da Directiva e artº 71º do RSP).

V- No caso, porém, de incumprimento gravemente negligente por parte do utilizador das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes, a responsabilidade deste pode ser reduzida, tendo em conta as circunstâncias do caso, até ao limite do saldo ou da linha de crédito associada à conta ou instrumento de pagamento artigo 61º, nº 3, da Directiva e artigo 72º, nº 3, do RSP).

VI Provando que a operação foi, sem afectação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada mas de que esta resultou de perda ou roubo do instrumento de pagamento ou sua apropriação abusiva por o utilizador não terassegurado a confidencialidade dos dispositivos de segurança, cabe ao utilizador, com nessa parte, derrogação da responsabilidade do prestador, arcar com as perdas relativas até ao montante máximo de € 150 (artigo 61º, nº 1, da Directiva e artigo 72º, nº 1, do RSP).

Salvo em caso de fraude, o utilizador não tem qualquer responsabilidade por operações não autorizadas realizadas após a comunicação de vicissitude referente à segurança ou fiabilidade do instrumento de pagamento; ou após o momento em que não efectuou essa comunicação por o prestador do serviço não fornecer os meios adequados para o efeito (artigo 61º, nºs 4 e 5, da Directiva e artigo 72º, nºs 4 e 5, do RSP).”

Aplicando esta Jurisprudência ao caso em apreço, não podemos qualificar a atuação da Autora como tendo praticada com negligência grave. Entende o referido Acórdão que “Negligência grave (ou grosseira) corresponde à falta grave e indesculpável, consistente na omissão dos deveres a que se está adstrito que só uma pessoa especialmente desleixada, descuidada e incauta deixaria de observar.

Nem, pela própria natureza das coisas, se pode qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’, ‘pharming’, ‘keylogging’) como gravemente negligente. É que essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder ser qualificada como grosseiramente negligente ela não pode ser susceptível de ser levada a cabo por um número significativo dos homens médios.”

Portanto, o caso em apreço no presente recurso enquadra-se nos pontos III e IV da síntese acima elaborada. Não existindo prova de como foram obtidas posições do cartão matriz utilizadas para validar as transferências fraudulentas não se pode afirmar que tal se ficou a dever à atuação da Autora.

9. O Supremo Tribunal de Justiça, no Acórdão prolatado em sede de recurso, sufragou na íntegra a Jurisprudência recorrida, não apontando qualquer irregularidade e abstendo de promover qualquer censura.

10. Por tudo o que aqui se afirmou, não é possível imputar negligência grave à conduta da Autora. Por isso, não foi realizada prova cabal dos factos que permitem a isenção da responsabilidade que recai sobre o Recorrido, devendo ser condenado a repor imediatamente na conta bancária do Recorrentes os valores fraudulentamente transferidos, acrescidos dos juros moratórios vencidos e vincendos peticionados por estes (artigo 71º, nº 1).

11. Assim, tendo em conta os factos provados, a douta sentença recorrida deve ser anulada, por erro de julgamento e, consequentemente, tomada deliberação que, dando provimento ao presente recurso, condene o Recorrido nos pedidos formulados pelos Recorrentes.

Termos em que, deve o presente recurso merecer provimento e, em consequência, ser revogada a douta sentença recorrida, assim se fazendo a costumada Justiça.

A Ré apresentou contra alegações nas quais defendeu a confirmação da sentença recorrida

Colhidos os vistos legais, cumpre apreciar e decidir:

II- OS FACTOS

Na 1.ª instância foram dados como provados os seguintes factos:

1) Os AA são titulares da conta bancária com o n.º ... aberta junto da R., Caixa Económica Montepio Geral.

2) Em data não concretamente apurada, mas seguramente anterior a 16 de abril de 2015, indivíduos não identificados obtiveram as credenciais de acesso do serviço de homebanking do Montepio Geral relativos à conta com o n.º ..., titulada pelos AA., com o intuito de movimentar as quantias monetárias aí depositadas sem a permissão dos respetivos titulares.

3) A obtenção de tais dados foi conseguida através do envio de mensagem remetida pelos indivíduos não identificados à A., MS, cotitular da conta, em que solicitavam o preenchimento das credenciais de acesso ao referido serviço de homebanking.

4) Tal mensagem, por se assemelhar às mensagens legitimamente provenientes da instituição bancária em que estava domiciliada a conta em apreço, induziu em erro a titular da conta bancária, a qual, convicta da genuinidade da proveniência da mensagem, forneceu as credenciais de acesso ao serviço homebanking, possibilitando que tais indivíduos pudessem, livremente, movimentar as contas através da internet.

5) Munidos das credenciais de acesso ao serviço de homebanking, os indivíduos desconhecidos ordenaram:

-No dia 15 de abril de 2015, duas transferências: uma no montante de 1.995,00€ e outra no montante de 1.993,00€.

-No dia 16 de abril de 2015, outras duas transferências: uma no montante de 1.990,00€ e outra no montante de 1.994,21€, todas da conta n.º ..., cotitulada por MS, para a conta n.º ..., do Montepio Geral, titulada por CC, titular do Título de Residência n.º ..., residente na Rua …, Amadora.

6) Os indivíduos desconhecidos ordenaram ainda:

- No dia 17 de abril de 2015, outras duas transferências: uma no montante de 2.000,00€ e outra no montante de 1.998,00€,ambas da conta n.º ..., titulada por MS, para a conta n.º ..., do Montepio Geral, titulada por …, titular do cartão de cidadão n.º ..., residente na Rua … Paço de Arcos.

7) Logo que teve conhecimento das transferências fraudulentas, a A. dirigiu-se à Policia Judiciária e apresentou queixa-crime, que deu origem ao processo n.º 233/15.5JDFLSB, que correu termos no Juiz 14 do Juízo Local Criminal de Lisboa do Tribunal Judicial da Comarca de Lisboa.

8) No referido processo, foi proferida sentença em 20.12.2018, já transitada em julgado, que absolveu os arguidos CC e DD da prática dos crimes imputados na acusação, com os fundamentos constantes de fls. 126 e ss.

9) Apresentada a queixa, em 20 de abril de 2015, os AA. apresentaram reclamação junto da R.

10) Em 18 de maio de 2015, a R. respondeu, nos termos constantes de fls. 38/39.

11) A R. tem por objeto social, entre outros, a realização de todas as operações permitidas por lei aos bancos.

12) No âmbito da sua actividade, a R. presta um serviço de “homebanking”, designado por “Montepio24”, tendo a A. aderido à vertente desse serviço oferecida pela R. a clientes particulares, “Montepio24 – Particulares”, nos termos constante de contrato celebrado entre a R. e a A., em 20 de Novembro de 2014, cuja formalização, ocorreu no Balcão da CEMG, da Rua de São José.

13) Por via da adesão ao serviço homebanking, os AA. têm a possibilidade de aceder a informações sobre produtos e serviços da R., realizar operações sobre as contas que titulam, realizar operações de compra e venda, subscrição ou resgate de produtos financeiros ou serviços disponibilizados pela Caixa Económica aos seus clientes.

14) Para usufruírem deste serviço a R. atribuiu aos AA. códigos de acesso/credenciais de utilização.

15) Os quais são pessoais e intransmissíveis e funcionam a três níveis de segurança, designadamente:

a) Número de identificação Montepio, atribuído e entregue ao cliente no momento da adesão;

b) Número PIN multicanal, composto por seis dígitos, atribuído e entregue ao cliente no momento da adesão (permitindo estas duas credenciais apenas a realização de operações e consultas que não comportem alterações de património);

c) Cartão Matriz (que consiste num cartão e coordenadas com 72 posições, cada uma com 3 dígitos, para validação de operações passíveis de alteração do património detida pelos AA. na R.

16) Sendo o cartão matriz remetido via CTT para o endereço dos clientes em estado de pré-ativo, apenas sendo passível de ser ativo pelos clientes mediante validação de códigos de acesso (através do número de cliente e do PIN multicanal).

17) A partir do momento da adesão ao referido serviço de homebanking, os AA. apenas autorizaram o Montepio a realizar as operações ordenadas através daquele meio electrónico.

18) Tratando-se de operações (em resultado de ordens dadas pelo cliente na plataforma de homebanking) em que não se observe uma saída de património da conta titulada pelo cliente observa-se o nível de segurança a) e b):

- Primeiro, a introdução do seu número de identificação Montepio do cliente;

- Em segundo lugar, a introdução de um código PIN multicanal, pessoal e intransmissível composto por seis dígitos.

19) Tratando-se de saída de património da esfera do cliente, acrescerá um nível de segurança – uma posição aleatória e irrepetível constante do cartão matriz, que tem inscritas coordenadas com 72 posições, cada uma com 3 dígitos.

20) Na situação acima exposta, tal validação foi efetivamente recebida na plataforma Montepio24, validação essa sem a qual não teria sido possível ter ocorrido qualquer saída de valores da conta.

21) Tal validação não teve a intervenção dos AA.

22) A R. alerta constantemente os utilizadores do serviço Montepio24, em todos os acessos ao Montepio24, após introdução dos dígitos correspondentes ao código de identificação de utilizador do Montepio24 e imediatamente antes da introdução do código de acesso personalizado, com a configuração de fls. 68v/69, do sítio institucional de CEMG, desde Novembro de 2006).

23) Tais avisos traduzem os cuidados de segurança e boas práticas a ter, pelos clientes na utilização do serviço de homebanking.

Mais foi decidido quanto a factos não provados:

“Não se provou que CC e DD previram e quiseram proceder ao levantamento das quantias fraudulentamente transferidas para a sua conta bancária, cientes da origem ilícita das transferências realizadas.

Não se provou que, sem que a R. tenha tomado as devidas precauções para o evitar, terceiros não autorizados, com acesso aos dados do cartão matriz, movimentaram a referida conta bancária.

Não se provou que a R. não garantiu a segurança do seu sistema informático de serviços bancários vulgo homebanking, nomeadamente transferências bancárias.

Não se provou que a A. cedeu todas as posições do cartão matriz”.

III- O DIREITO

Tendo em conta as conclusões de recurso formuladas que delimitam o respectivo âmbito de cognição deste Tribunal, as questões que importa conhecer são as seguintes:

1- Impugnação da decisão sobre a matéria de facto

2- Saber se a Ré é responsável pelo pagamento do valor peticionado, resultante dos movimentos bancários não autorizados pelos AA, questão que envolve resposta à questão da existência de negligência grave por parte da Autora

1- Relativamente à matéria de facto provada, a Recorrente entende que, embora tinha sido considerado não provado “… que a A. cedeu todas as posições do cartão matriz”, devia ter sido dado como provado que a Autora cedeu, no máximo, 5 posições do cartão matriz.

E fundamenta a sua pretensão no depoimento da Autora, MS e a acareação realizada entre a Autora e a Testemunha LF.

Na verdade, ouvidos os depoimentos e a referida acareação, ficou esclarecido que a Autora ao ter referido perante a Ré que “deu todos os números”, quis significar que deu todos os números que lhe pediram e não todos os números do cartão matriz. Na verdade, afirmou que não indicou todas as posições do cartão matriz. Porém, a Autora não obstante a “serenidade, convicção e coerência” com que depôs, como é reconhecido na sentença recorrida, não foi capaz de concretizar com absoluta certeza, o que é normal quantos números introduziu. Referiu a Autora que “não sabe quantos…mais ou menos.” “cinco ou seis”. E, após, o sistema bloqueou e já não conseguiu fazer o pagamento que pretendia fazer ao aceder ao sistema, tendo ido fazer o pagamento ao Multibanco.

Ainda assim, no contesto referido, cremos que a prova produzida permite dar como provado o seguinte:

“24- a Autora cedeu número não concretamente apurado de posições do cartão matriz, entre cinco e seis.”

Decide-se aditar tal facto ao elenco de factos provados constituindo o n.º 24).

Porém, afigura-se que é relevante para a boa decisão da causa explicitar o contexto em que a Autora forneceu essas posições do cartão matriz, facto que não resulta com clareza do elenco dos factos provados. Contudo, tal foi claramente explicado pela Autora no seu depoimento prestado em julgamento que coincide com aquele que foi prestado no âmbito do processo - crime que correu termos sob o n.º 233/15.5JDLSB no Juízo Local Criminal de Lisboa, Juiz 14, como se pode ver da sentença proferida em 20/12/2018 que se encontra junta com a petição inicial.

Assim, em conformidade com essa prova, nos termos do art.º 5 n.º 2 b) e 662.º n.º1 do CPC, adita-se ao elenco de factos provados os seguinte:

“25- No momento em que a Autora acedeu electronicamente à sua conta referida em 1), a fim de proceder ao pagamento de uma factura de fornecimento de água, surgiu-lhe no écran do computador uma mensagem dizendo que o prazo do seu cartão estava prestes a expirar e pedindo que a Autora procedesse à alteração das credenciais de acesso à sua conta bancária por via electrónica.”

“26- Convicta de que a mensagem estava a ser enviada pelo Montepio, a Autora cedeu as credenciais de acesso bem como os números a que faz referência no ponto 24)”

2- Importa agora analisar a questão de saber se a Ré é responsável pelo pagamento do valor peticionado, resultante dos movimentos bancários não autorizados pelos AA.

Tal como bem se diz na sentença recorrida, “Nos autos está em causa um contrato designado por homebanking, que as partes não discutem.

Há uma relação negocial complexa que foi iniciada através de um contrato de abertura de conta, com um depósito de quantias monetárias numa conta, por parte dos AA., e no âmbito da qual as partes inscreveram um novo contrato destinado a permitir a consulta e movimentação da conta através da internet.

Em resultado da evolução tecnológica, surgiu um contrato que permite às partes um conjunto de benefícios. Os bancos libertam-se de meios humanos, simplificam processos e operações. Os clientes desfrutam de um acesso mais continuado, mais rápido e mais fácil”.

Sucede que, no caso presente, algo correu mal, pois no decurso de uma operação no âmbito da utilização por parte da Autora dos serviços de homebanking, ocorreu um desvio de uma determinada quantia da conta dos Autores, contra a vontade destes, por acção de terceiros e da qual estes ficaram desembolsados.

Estamos no âmbito do designado “phishing” que pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este, ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente”[1].

A outra modalidade de fraude online é o “pharming” a qual “consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos hackers, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem, destinando-se ambas as técnicas (phishing e pharming) à obtenção fraudulenta de fundos”.

Os contornos do presente caso mais se assemelham à fraude designada por “pharming”.

Os factos em apreço ocorreram após a entrada em vigor do Decreto-Lei n.º 317/2009, de 30/10, alterado pelos Decretos-Lei n.º 242/2012, de 07/11, 157/2014, de 24.10 e 91/2018 de 12-11), sendo este o regime jurídico aplicável. Este decreto-lei vem transpor para a ordem jurídica interna “o novo enquadramento comunitário em matéria de serviços de pagamento, que tem em vista assegurar condições de concorrência equitativas entre todos os sistemas de pagamentos no espaço comunitário e preservar a escolha do consumidor em melhores condições de segurança, eficácia e eficiência de custos.

O presente decreto-lei está organizado em cinco títulos, tendo os aspectos essenciais do regime comunitário sido transpostos nos títulos ii e iii, em ampla sintonia com a organização sistemática adoptada pela própria directiva.

O título ii regula as matérias respeitantes aos prestadores de serviços de pagamento, abrangendo as matérias relativas ao acesso à actividade de prestação destes serviços e às condições de acesso e de exercício da actividade das instituições de pagamento, que correspondem ao novo tipo de prestadores de serviços de pagamento introduzido pela directiva. Entre outros aspectos da disciplina das instituições de pagamento, destacam-se as regras sobre o processo de autorização e registo, as normas respeitantes à sua supervisão e as disposições que concretizam o designado passaporte comunitário.

O título iii trata, por um lado, dos deveres de informação pré-contratual e pós-contratual e, por outro, das normas que devem conformar os direitos e as obrigações contratuais dos utilizadores e dos prestadores de serviços de pagamento”.[2]

Nos termos do art.º 67.º n.º 1 e 2 do referido diploma, são obrigações do utilizador dos serviços de pagamento:

“a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; e

b) Comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento”.

2- Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados”.

Por seu turno, o art.º 68.º do mesmo diploma determina as obrigações do prestador de serviços de pagamento associados aos instrumentos de pagamento e que são designadamente as seguintes:

“a) assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior”.

E dispõe o art.º 70.º:

“1. Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi correctamente efectuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência.

2. Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67.º”.

Regula ainda o art.º 72.º do mesmo diploma legal a responsabilidade do ordenante por operações de pagamento não autorizadas, resultantes de perda, de roubo ou da apropriação abusiva de instrumentos de pagamento. Assim, nos termos do n.º 4, “após ter procedido à notificação a que se refere a alínea b) do art.º 67.º, o ordenante não suporta quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, roubado ou abusivamente apropriado, salvo em caso de actuação fraudulenta”.

Resulta das boas regras de conduta impostas por lei aos bancos (arts. 73.º a 75.º do RGICSF) que os serviços de pagamento presenciais ou electrónicos prestados aos seus clientes, deve ser, não só de qualidade e eficiente, mas também serviço seguro…".

"Ao prestador dos serviços bancários cabe, pois, por lei, assegurar a qualidade e segurança do sistema que permita movimentar a conta apenas a quem tem legitimidade, depositando, levantando ou transferindo fundos. O risco de funcionamento deficiente ou inseguro do sistema de prestação de serviços de pagamento ou transferência localiza-se, portanto, na esfera do seu prestador, a quem incumbe a responsabilidade por operações não autorizadas pelo cliente nem devidas a causa imputável ao cliente". [3]

Daí que recaiam sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema, impendendo ainda sobre este o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência.

Por outro lado, o utilizador do serviço de pagamento tem de dispor de um conjunto de dispositivos de segurança (código de acesso, cartão matriz, etc.) que lhe vão permitir aceder a esse serviço, sendo responsável pela boa utilização desses mesmos dispositivos.

Ora, sendo inteiramente correcto o enquadramento jurídico da questão elaborado pela sentença recorrida, já não acompanhamos o raciocínio da mesma quanto à atribuição de responsabilidade à Autora afirmando que esta “fez uma utilização incorreta das credenciais que o banco lhe forneceu para aceder ao homebanking, dando-as a terceiros de uma forma contraditória com a lógica do sistema de segurança para que as credenciais servem”.

Não é isso que resulta da análise dos factos provados. A Autora não forneceu quaisquer credenciais de segurança a terceiros, voluntariamente. O que sucedeu foi que no momento em que a Autora acedeu eletronicamente à sua conta referida em 1), dos factos provados, a fim de proceder ao pagamento de uma factura de fornecimento de água, surgiu-lhe no écran do computador uma mensagem dizendo que o prazo do seu cartão estava prestes a expirar e pedindo que a Autora procedesse à alteração das credenciais de acesso à sua conta bancária por via electrónica. E, então, convicta de que a mensagem estava a ser enviada pelo Montepio, a Autora cedeu os números a que faz referência o ponto 24 da factualidade provada. Donde se tem necessariamente de concluir que, imediatamente após a Autora ter acedido eletronicamente à sua conta, alguém de forma fraudulenta conseguiu introduzir-se no sistema enviado a mensagem, como se a mesma fosse enviada pelo Montepio. Ou então, a Autora pensando estar na página do Montepio, eventualmente terá entrado numa página Web falsa, vítima de uma fraude designada supra por “pharming”. E, assim, a Autora só forneceu os números do cartão matriz porque estava convicta de que os estava a fornecer ao Montepio. Não se nos afigura que tal atitude possa ser qualificada como negligência grave.

Negligência grave (ou grosseira) corresponde à falta grave e indesculpável, consistente na omissão dos deveres a que se está adstrito que só uma pessoa especialmente desleixada, descuidada e incauta deixaria de observar[4].

Ora, sucede que nas circunstâncias em apreço, qualquer pessoa, medianamente sagaz e cuidadosa, poderia ser induzida em erro e ser levada a ter exactamente o mesmo comportamento que a Autora teve.

De resto, “nem, pela própria natureza das coisas, se pode qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’, ‘pharming’, ‘keylogging’) como gravemente negligente. É que essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder ser qualificada como grosseiramente negligente ela não pode ser susceptível de ser levada a cabo por um número significativo dos homens médios.”[5]

Ora, resulta do regime jurídico supra referido que corre pelo entidade bancária o risco do que pode acontecer na conta do cliente sem que a este seja imputável, conforme, além do mais decorre igualmente do disposto no art.º 796.º n.º2 do Código Civil.

Mesmo antes da aplicação da vigência da directiva comunitária já o entendimento era o de que “ feita a prova do depósito do dinheiro (…) e não se provando a culpa do depositante, corre pelo Banco o risco do seu extravio.”[6]

Coloca-se assim, a questão de saber, neste caso em concreto, até que ponto a Ré Caixa Económica Montepio Geral, cumpriu todas as obrigações contratuais.

Se o Banco está obrigado a “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior”, resulta de tal obrigação constante do art.º 68.º a) do D.L. n.º 317/2009, que corre pelo Banco o risco de uma utilização abusiva do sistema de pagamento através de homebanking caso o titular tenha cumprido todas as suas obrigações, como sucede no caso que nos ocupa. Nessas circunstâncias, só as entidades bancárias, estão em condições de “assegurar que os dispositivos de segurança” desse sistema, só sejam acessíveis ao legítimo utilizador. Assim, perante as características da entrada abusiva de terceiros na conta bancária dos Autores, tal como vem descrito na matéria de facto provada, a Ré Montepio Geral, no âmbito das suas obrigações contratuais, deveria ter accionado mecanismos de alerta/controlo de forma a detectar a entrada abusiva de terceiros no sistema informático, garantindo que só a Autora o pudesse fazer. O caso concreto é um exemplo em que essas medidas de segurança falharam. Nem se diga que a Autora incumpriu as suas obrigações contratuais ao fornecer números de seu cartão matriz, pois se os não tivesse fornecido, não teria ocorrido a apropriação indevida dos montantes em causa. Não procede tal raciocínio porque a questão coloca-se a montante desse facto. Coloca-se no momento em que terceiros tiveram acesso à página informática, no momento em que a Autora ali entrou também, ou conseguem “copiar” ou “clonar” a página do Montepio. Não sabemos exactamente como a fraude ocorreu. Nestas condições, é praticamente impossível ao titular da conta perceber que não está a comunicar com a entidade bancária, e que está a ser vítima de uma fraude.

Ora, é nesse momento em que terceiros entram no sistema informático de forma desconhecida que se revela a fragilidade desse sistema, competindo ao Banco reforça-lo, de forma a impedir que tal possa ocorrer. Sucede que o risco dos danos causados pela fragilidade do sistema pertence ao banco, solução que se justifica inteiramente, tendo em conta que a instituição de sistema de pagamentos eletrónicos não é benéfica apenas para o titular, indo ainda de encontro aos interesses do banco, na medida em que diminui os seus custos operativos, nomeadamente com funcionários. Nessa medida, os bancos estão adstritos a apertados deveres de segurança, devendo garantir a confidencialidade e integridade dos sistemas informáticos de que se socorrem para operacionalizar as transações eletrónicas.

Ora, no caso concreto, está bem patente que a Ré não logrou provar o cumprimento desse dever de garantir a confidencialidade e integridade do sistema informático. Esse dever não ficou garantido pelo simples facto de cumprir os avisos mencionados nos artigos 22 e 23 dos factos provados. Na verdade, esses avisos destinam-se ao cumprimento por parte dos titulares das contas de regras de prudência e de segurança que já vimos não foram desrespeitados pelos Autores. Foi antes a Ré que, a montante, não cumpriu os deveres que a si competia, os já mencionados deveres de garantir a confidencialidade e integridade do sistema informático, E para tanto os Bancos têm de estar constantemente a actualizar os sistemas de forma a prevenir a actuação fraudulenta de terceiros que agem, precisamente, no sentido de permanentemente frustrar essas medidas de segurança com métodos sempre mais sofisticados, tentando e, por vezes conseguindo, estar “um passo à frente” das suas vítimas.

A responsabilidade contratual é apreciada nos termos do disposto no art.º 799.º n.º 2 do Código Civil, ou seja, o ónus da prova de que o incumprimento não procede de culpa sua, incumbe à Ré, ora Apelada. Logo, não tendo sido feita essa prova, é a Ré responsável pelo reembolso das quantias peticionadas.

Procede o recurso.

IV- DECISÃO

Face ao exposto, acordamos neste Tribunal da Relação de Lisboa em julgar o recurso procedente e, por consequência, revogando a decisão recorrida, condenar a Ré a reembolsar os Autores na quantia de € 11.970,00, acrescida de juros vencidos e vincendos, à taxa legal, desde a data da citação até integral pagamento.

Custas pela Ré.

Lisboa, 29 de Setembro de 2022

Maria de Deus Correia

Maria Teresa Pardal

Anabela Calafate (vencida conforme declaração de voto que segue)

Voto vencida por entender que dos factos provados resulta manifesta culpa grave da apelante, pelo que confirmaria a sentença recorrida.

Anabela Calafate

[1] Vide Acórdão do STJ de 18-12-2013, Processo 6479/09, disponível em www.dgsi.pt

[2] Vide preâmbulo do referido diploma legal

[3] Vide Calvão da Silva , Direito Bancário, p.348.

[4] Vide a este propósito, Acórdão do STJ de 13-12-2007 P. 0753655, disponível em www.dgsi.pt

[5] Acórdão do TRL de 15-03-2016, disponível em www.dgsi.pt.

[6] Acórdão do TRC de 21-05-1996, CJ, 1996, 3.º- 17.

Sumário

Texto

Metadados do documento

Sumário

Texto Integral

I- RELATÓRIO

III- O DIREITO

IV- DECISÃO