O Banco Montepio foi condenado a pagar mais de 30 mil euros a um casal de Coimbra vítima de um ataque de phishing em 2017. O banco terá ainda de pagar juros e quatro mil euros por danos não patrimoniais.
Corpo do artigo
A instituição não "logrou demonstrar, como lhe competia, qualquer culpa" dos clientes burlados e terá de suportar o prejuízo. A decisão foi confirmada pela Relação de Coimbra.
A 11 de janeiro de 2017, um dos lesados, cliente do Montepio há mais de 40 anos, foi alertado pela gerente de conta para "uns problemas". Foi ao balcão, em Coimbra, e informaram-no de que três contas suas e da companheira haviam sido alvo de "ataque informático". Entre 3 e 11 de janeiro, foram efetuadas transferências e dezenas de pagamentos de serviços num total superior a 30 mil euros. Nenhuma autorizada pelos clientes.
A vítima foi aconselhada a queixar-se à Polícia Judiciária e a exigir ao Montepio que assumisse as perdas. Porém, a 16 de fevereiro, foi informada de que a instituição "não iria restituir os montantes". O banco alegou que o cliente, "em desrespeito de todas as instruções", fez "uma utilização imprevidente/negligente do sistema" de acesso ao homebanking, o que terá "com toda a probabilidade", motivado o phishing, para o qual o banco "em nada contribuiu" e não podia evitar.
O casal recorreu à justiça, que lhe deu razão. Os juízes do Tribunal Cível de Coimbra consideraram que, "à luz dos factos apurados, a ré não logrou demonstrar, como lhe competia, qualquer culpa daqueles [dos clientes] nessa movimentação" fraudulenta. E, frisando que só oito dias após o seu início é que as operações ilícitas foram detetadas pelo banco, condenaram-no a reembolsar as quantias perdidas, juros, acrescidos de 10 por cento e ainda uma indemnização por danos morais. No total, ainda sem juros, terá de pagar 25 513,24 euros ao cliente e 13 126,13 à sua companheira.
O Montepio recorreu, mas a Relação confirmou a decisão. Os desembargadores explicam que é sobre o banco que recai o risco do sistema, incluindo operações não autorizadas desde que por causas não imputáveis ao cliente. Neste caso, apesar de terem sido utilizados os códigos e credenciais do queixoso, não ficou provado que tenha sido ele a dá-los a terceiros.
Não há "negligência grave"
"Não se pode qualificar a conduta de quem fornece credenciais de segurança sujeita a uma prática fraudulenta (phishing ou pharming) como gravemente negligente", referem os juízes desembargadores. Sustentam que essas práticas conseguem ludibriar "um grande número de pessoas" e não haverá conduta "grosseiramente negligente" se ela for suscetível de ser levada a cabo por "um número significativo de homens médios", como é o caso. Para haver negligência grosseira é necessária uma "falta grave e indesculpável", só possível por "pessoa especialmente desleixada, descuidada e incauta".
Neste caso em concreto, os juízes afirmam que "não é possível concluir, sem hesitações," que os movimentos se ficaram a dever ao comportamento dos clientes, fosse por quebra de confidencialidade, atuação fraudulenta dos próprios, incumprimento deliberado das obrigações ou comportamento negligente.
Fraude
Transferências da conta a prazo para pagamentos
Ao longo de oito dias, foram transferidos valores diários entre mil e 3750 euros da conta a prazo do cliente, que era a que tinha mais saldo, para a conta a débito, que era de valor residual. Após cada transferência, seguiram-se, em média, sete movimentos na conta a débito, num total de 39 pagamentos de serviços no valor de 21 036,17 euros. Já através da conta da companheira, foram efetuados 20 pagamentos de serviços em três dias, no valor de 9954,01 euros.
Saber mais
Phishing
Segundo um trabalho do procurador Pedro Verdelho, diretor do Gabinete de Cibercrime da Procuradoria-Geral da República, o phishing consiste no envio de mensagens de correio eletrónico, que provêm aparentemente do banco prestador do serviço, tentando obter dados confidenciais que permitam o acesso ao serviço de pagamento eletrónico.
Pharming
Técnica através da qual é corrompido o próprio nome de domínio de uma instituição financeira, redirecionando o utilizador para um site falso - em tudo similar ao verdadeiro -, levando-o a introduzir os códigos de acesso à banca online, o que é captado e utilizado pelos piratas.
Quem suporta as perdas?
De acordo com a lei, o risco de fraude com a banca online pode ser suportado pelos clientes ou pelos bancos nos seguintes casos: quando é imputável ao cliente a quebra de confidencialidade, ele suporta perdas dentro do saldo disponível até ao máximo de 150 euros; se as perdas forem devido à atuação fraudulenta do cliente ou ao incumprimento deliberado das obrigações de segurança, ele suporta todas as perdas; havendo negligência grave do cliente, ele suporta todas as perdas até ao limite do saldo disponível, mesmo que superior a 150 euros; e se o cliente comunicar ao banco a apropriação abusiva do instrumento de pagamento, não suporta qualquer perda, exceto no caso de atuação fraudulenta.