Tribunal Regional de Lübeck decide sobre a distribuição de responsabilidade em casos de phishing no banco online
O Tribunal Regional de Lübeck decidiu em 18 de janeiro de 2024 (proc.: 3 O 83/23) sobre as condições sob as quais as instituições financeiras são obrigadas a restituir valores após um ataque de phishing bem-sucedido. O foco esteve na questão central de saber se um prestador de serviços de pagamento também deve ser responsabilizado quando o titular da conta agiu com negligência grave. Este artigo analisa os principais fundamentos da decisão e insere o veredicto no contexto do panorama jurídico atual do banco online.
Situação dos fatos: ataque de phishing e instrução de pagamento não autorizada
O litígio em questão envolveu pagamentos decorrentes de um incidente de phishing. A autora, titular de uma conta corrente, recebeu uma mensagem habilmente falsificada, supostamente enviada pela sua instituição financeira. Por meio de um link incluído, ela foi direcionada para um site falsificado, no qual inseriu, posteriormente, seus dados de acesso e uma TAN. Em consequência, foram realizadas transferências que não haviam sido autorizadas pela autora.
Após perceber o ocorrido, a autora cancelou as transações e solicitou a devolução dos valores ao banco. A instituição recusou o reembolso, alegando comportamento gravemente negligente por parte da autora. A questão foi então levada ao Tribunal Regional de Lübeck.
Enquadramento jurídico: deveres de diligência e repartição da responsabilidade
Responsabilidade fundamental dos prestadores de serviços de pagamento
Segundo o § 675u do BGB, os prestadores de serviços de pagamento têm, em princípio, a obrigação de indenizar seus clientes por danos decorrentes de operações de pagamento não autorizadas. Há, porém, uma exceção importante: se ficar comprovado que o titular da conta agiu com negligência grave, o direito à restituição é excluído. O fator decisivo é a observância, por parte do cliente, das regras elementares de segurança exigidas no contexto do banco online.
Negligência grave no contexto do banco online
De acordo com a jurisprudência consolidada, considera-se existir negligência grave quando o cuidado exigido nas relações comerciais é violado de forma especialmente severa. Em situações de phishing, tal violação ocorre, via de regra, quando dados sensíveis de acesso (PIN, TAN) são inseridos em sites sem verificação adequada de sua autenticidade.
No caso em análise, o Tribunal Regional destacou que a autora inseriu seus dados de acesso e uma TAN de uso único em um site falsificado, que se diferenciava do verdadeiro da instituição financeira apenas por detalhes mínimos. O fato de as condições gerais e os avisos de segurança do prestador de serviços chamarem expressamente a atenção para os perigos do phishing e para a importância do máximo cuidado ao lidar com dados de acesso reforçou, em última análise, a constatação de negligência grave.
Não há direito à restituição em caso de comportamento gravemente negligente
Diante dessas circunstâncias, o Tribunal Regional deixou claro que, no caso concreto, o banco não está obrigado a restituir os valores debitados. O direito à restituição é excluído pelo § 675v, inciso 3, n.º 2 do BGB, uma vez que a autora negligenciou “em grau significativo” seus deveres de diligência, contribuindo de forma relevante para a ocorrência do dano.
Importância da decisão e desenvolvimentos atuais no direito dos serviços de pagamento
Consequências para os utilizadores de serviços de pagamento
A decisão ressalta o entendimento atualmente consolidado de que a responsabilidade pela proteção dos dados de acesso recai principalmente sobre os titulares das contas. No entanto, isso não significa que os bancos estejam totalmente isentos de responsabilidade: caso ocorra um dano pese embora a diligência obrigatória, o prestador de serviços de pagamento permanece, em princípio, responsável pela restituição. O exame cuidadoso de cada caso concreto é sempre determinante – especialmente tendo em vista as medidas de segurança existentes e os sinais de alerta perceptíveis de um ataque de phishing.
Reforço dos mecanismos de prevenção
A decisão evidencia também as exigências crescentes para os utilizadores do banco online. Desenvolvimentos tecnológicos como a autenticação em dois fatores e campanhas permanentes de esclarecimento são cada vez mais padrão por parte dos prestadores de serviços — mas não isentam os utilizadores da responsabilidade de utilizar conscienciosamente os mecanismos de segurança disponíveis e de se informar sobre riscos atuais.
Enquadramento jurídico e perspetivas
Face à constante evolução das práticas fraudulentas nos pagamentos digitais, os tribunais vêm precisando continuamente os critérios para consideração de negligência ou negligência grave. A decisão do Tribunal Regional de Lübeck insere-se numa linha de julgados que distingue claramente erros simples de violações graves de dever.
Conclusão e orientações para titulares de contas afetados
A decisão do Tribunal Regional de Lübeck reafirma que o direito à restituição de disposições não autorizadas é excluído em caso de negligência grave. Na prática, a análise cuidadosa de cada situação individual assume especial importância. Em particular, os titulares de contas devem estar preparados para novas formas de fraude e continuar tratando seus dados de acesso com o máximo cuidado.
Em caso de dúvidas ou questões complexas relativas a incidentes de phishing, pedidos de indemnização ou à interpretação das regras atuais dos serviços de pagamento, os Rechtsanwälte da MTR Legal colocam à disposição sua ampla experiência em direito bancário e áreas jurídicas afins como interlocutores competentes.
