Questões de responsabilidade do banco em casos de phishing: fundamentos e impactos da decisão do Tribunal Superior Regional de Frankfurt am Main
O Tribunal Superior Regional (OLG) de Frankfurt am Main teve recentemente que avaliar um caso que, diante do aumento dos ataques digitais contra clientes bancários, provavelmente terá grande relevância para a prática do direito dos serviços de pagamento (sentença de 19.02.2024, Az. 3 U 323/22). A questão era saber se uma instituição de crédito é obrigada a reembolsar a um cliente uma quantia transferida da sua conta em decorrência de um chamado ataque de phishing – sendo que o cliente foi vítima de um software malicioso. Após minuciosa análise jurídica, o OLG decidiu que não há responsabilidade do banco se o cliente bancário agiu com negligência grave.
Situação inicial e fatos
No centro do processo estava uma transferência realizada por um cliente bancário após receber um e-mail falsificado muito convincente. Isso o conduziu a um site falso, onde forneceu dados sensíveis de autenticação. Como resultado, uma quantia significativa de dinheiro foi transferida sem autorização legítima para uma conta estrangeira.
O titular da conta argumentou posteriormente que o banco havia debitado a quantia indevidamente de sua conta, sem que existisse uma autorização de pagamento válida. Com base nos §§ 675u, 675y do BGB, ele exigiu a restituição do valor total da transferência.
Critério da negligência grave
O OLG Frankfurt am Main examinou inicialmente se existiam fundamentos contratuais ou legais para o direito de restituição. O foco recaiu sobre a questão da autorização conforme o § 675j do BGB. Em pagamentos iniciados de forma evidente pelo titular da conta, a devolução depende de comprovar se houve negligência grave na proteção dos dados de autenticação (§ 675v, inciso 3, nº 2 do BGB).
Ausência de direito à restituição em caso de negligência grave
O tribunal deixou claro em sua decisão que o cliente do banco deve arcar com as perdas sofridas se seu comportamento for considerado negligente em grau grave. Para isso, basta a violação de deveres básicos de cuidado no manuseio dos instrumentos de autenticação. Isso inclui, por exemplo, não ser imputável ao pagador a divulgação de dados sensíveis de segurança.
No caso analisado, o autor deveria ter seguido os alertas pessoais enviados pelo banco contra ataques de phishing e examinado de forma crítica links ou sites suspeitos. Ignorar tais alertas e fornecer números de TAN e senhas de forma irrefletida, apesar de reiterados avisos do banco, não configura mera negligência, mas sim negligência grave.
Inexistência de obrigação de indenizar por parte do banco
Segundo o entendimento do colegiado, não há obrigação do prestador de serviço de pagamento de indenizar quando o prejuízo decorre do descumprimento de deveres de proteção e cuidado. O dever do banco de restituir transferências erradas cessa quando o cliente não protege adequadamente seus dados de autenticação ou mesmo os entrega a terceiros.
Relevância para clientes bancários e instituições de crédito
Impactos práticos para usuários de serviços de pagamento
Se os alertas de segurança do banco forem desconsiderados e isso resultar em phishing bem-sucedido, de acordo com a decisão do OLG Frankfurt am Main, o cliente deve assumir o risco. O quadro legal do § 675v do BGB protege os direitos dos consumidores, mas não se aplica em casos de conduta considerada negligente em grau grave.
Exigências quanto à consciência de segurança
A decisão demonstra de forma inequívoca que os bancos devem cumprir seu dever de informar, alertando periodicamente sobre fraudes e riscos. Além disso, espera-se que os clientes bancários sigam atentamente as orientações de segurança e requisitos técnicos. Quem fornece dados de autenticação mesmo após sucessivos avisos corre o risco de perder o direito à restituição.
Enquadramento jurídico-político e estratégico
Importância para o trabalho preventivo dos bancos
Para as instituições de crédito, há um fortalecimento de sua posição jurídica – desde que mecanismos de aviso abrangentes e transparentes estejam implementados e possam comprovar a conduta negligente grave. A decisão reforça o princípio de que uma orientação adequada do cliente é indispensável para prevenir fraudes em pagamentos.
Evolução da jurisprudência
A sentença integra um número crescente de decisões em que os tribunais passam a detalhar critérios para a negligência grave conforme o § 675v do BGB. No entanto, a avaliação deve ser feita caso a caso, pois cada cenário de phishing apresenta características próprias a serem consideradas na análise jurídica.
Encargos de prova e ônus da argumentação
O Tribunal Superior Regional destacou que, em litígios, cabe ao banco apresentar provas, fornecer informações completas sobre alertas de segurança e comprovar as medidas de prevenção adotadas. Em contrapartida, o cliente deverá demonstrar no processo em que medida seguiu efetivamente as recomendações do banco.
Conclusão
Em suma, a decisão do OLG Frankfurt am Main estabelece novos parâmetros para a distribuição de responsabilidade em ataques de phishing. Os clientes bancários devem proteger seriamente seus dados de autenticação e seguir os alertas emitidos pelas instituições de crédito. Só assim poderá ser considerada a responsabilidade do banco em situações excepcionais. A decisão fortalece a posição dos prestadores de serviços de pagamento, desde que fique comprovado o comportamento negligente grave do cliente.
Clientes bancários, empresas e prestadores de serviços de pagamento continuam enfrentando desafios jurídicos complexos em transações financeiras digitais. Especialmente diante das exigências técnicas de segurança e dos deveres de prevenção de danos, muitas questões detalhadas só podem ser esclarecidas individualmente. Em caso de dúvidas sobre riscos de responsabilidade e serviços de pagamento no âmbito do direito bancário e financeiro, o Rechtsanwalt da MTR Legal permanece à disposição como contato.
