O Tribunal de Munique teve recentemente de analisar a questão de saber se uma cliente bancária tem direito a restituição perante a sua instituição de crédito após uma operação de pagamento não autorizada, quando ela própria transmitiu um SMS-TAN necessário para a autorização da transação a terceiros desconhecidos (Processo n.º 271 C 16677/24, sentença de 14 de maio de 2024). Esta decisão evidencia a importância fundamental do dever de diligência no banco online, bem como os princípios centrais do regime jurídico contratual dos serviços de pagamento.
Situação de facto e enquadramento do litígio
Uma cliente perdeu, através da sua conta de banco online, uma quantia elevada para terceiros até então desconhecidos. A transferência foi efetuada após o recebimento de um SMS-TAN, que a cliente transmitiu a uma pessoa fora do seu agregado familiar. Pouco depois, apercebeu-se da saída não autorizada do valor e exigiu indemnização ao banco responsável, argumentando que foi vítima de um ataque de phishing enganoso e não conseguiu perceber que se tratava de um contacto fraudulento. Na opinião da cliente, era ao banco que competia o risco de tentativas de manipulação tão sofisticadas.
Aspetos centrais da decisão judicial
Pertinência da Lei de Supervisão dos Serviços de Pagamento (ZAG) e § 675u do BGB
Na fundamentação da sentença, o tribunal deixou claro que, de acordo com o § 675u do BGB, no âmbito das operações eletrónicas de pagamento, o banco tem em princípio de restituir ao cliente o montante pago, caso se trate de uma operação não autorizada. Contudo, requisito para tal é que o cliente não tenha autorizado a operação ou, pelo menos, não tenha colaborado de forma grosseiramente negligente para o uso abusivo dos seus instrumentos de autenticação.
Noção e significado da autenticação no banco online
No contexto dos sistemas bancários modernos, a autenticação de dois fatores, por exemplo através da combinação da identificação pessoal (p.ex. PIN) e de um código de transação de uso único (TAN), é a regra. A entrega destes dados de acesso e, em especial, da TAN a terceiros, é expressamente proibida e contraria o dever de diligência a que todo titular de conta está vinculado. A autora do processo transmitiu o SMS-TAN, apesar dos avisos necessários do banco e das instruções claras sobre a sua confidencialidade.
Comportamento grosseiramente negligente como fundamento de exclusão do direito à restituição
O tribunal considerou que a conduta da cliente foi grosseiramente negligente, o que, nos termos do § 675v, n.º 3, do BGB, exclui o direito a ressarcimento do dano. Os juízes explicaram que os bancos informam regularmente os seus clientes, através de avisos claros e informações de segurança, que as TANs nunca devem ser transmitidas a terceiros, nem mesmo perante pedidos telefónicos ou eletrónicos. Quem ignora estes mecanismos de proteção e ainda assim transmite dados de acesso extremamente sensíveis, assume conscientemente e de forma relevante o risco de uma transação fraudulenta. O direito à restituição junto do banco é excluído nestas situações.
Consequências para a relação contratual entre titular de conta e banco
Distribuição do risco nas operações de pagamento
A decisão confirma que, na utilização dos modelos modernos de banco online, ocorre uma transferência parcial de risco para o titular da conta assim que este não observa de forma negligente as medidas de proteção contratualmente acordadas. Sem conduta grosseiramente negligente, o ónus da prova e do risco ao abrigo do § 675u do BGB continuaria a recair sobre o banco.
Relevância para a proteção do consumidor
É certo que as disposições do contrato quadro de serviços de pagamento visam proteger amplamente o consumidor, porém – e o tribunal sublinhou isto – tal exige sobretudo a cooperação ativa do próprio cliente. No caso concreto, o banco cumpriu todos os deveres regulamentares e contratuais de informação e de proteção; a cliente, pelo contrário, violou o seu dever contratual acessório de lidar com diligência com os mecanismos de autenticação.
Enquadramento no contexto geral e indicações adicionais
A decisão do Tribunal de Munique deixa claro que, em caso de transmissão de TANs a terceiros, praticamente não há perspetivas de sucesso para pretensões de restituição contra o banco – independentemente do grau de sofisticação da fraude subjacente. A relação contratual no âmbito do banco online baseia-se numa atuação conjunta e tácita dos deveres de diligência de ambas as partes.
Na prática, o tema do phishing e outros métodos de fraude representa um risco recorrente para os clientes bancários. A complexidade da avaliação de cada caso exige uma análise criteriosa, de modo a salvaguardar adequadamente tanto os interesses do banco como as preocupações dos clientes.
Considerações finais
A situação jurídica relativa a operações de pagamento não autorizadas e aos deveres de atuação das partes contratuais continua a ser objeto de discussões judiciais e legais. Em caso de dúvidas jurídicas concretas relativas a banco online, questões de responsabilidade ou direito dos pagamentos, os Advogados da MTR Legal permanecem à disposição como interlocutores de confiança.
