sexta, 10 janeiro 2020

Operações bancárias – Perigos das Novas Tecnologias?

VolverO Departamento de Contencioso da Belzuz Abogados S.L.P. – Sucursal em Portugal tem cada vez mais vindo a deparar-se com consultas por parte de lesados particularmente no que respeita a operações que envolvem entidades bancárias, constatando-se que a complexidade deste tipo de operações, a habitual envolvência de vários intervenientes e o recurso a meios técnicos, mais ou menos sofisticados, de comunicação eletrónica, são fatores que potenciam a ocorrência de incidentes neste domínio.

A questão coloca-se com especial acuidade no que respeita ao Homebanking, ou seja, o simples ato de realizar operações bancárias através da Internet, sem ter de se deslocar até um Banco ou qualquer caixa multibanco.

Associada ao homebanking anda a fraude informática, que possibilita que terceiros, de forma não autorizada e/ou abusiva, se apoderem das quantias depositadas, através de meios informáticos, acedendo aos elementos identificadores de segurança personalizados, corrompendo ou subvertendo os meios informáticos utilizados e revertendo-os para seu próprio benefício.

As modalidades mais comuns de fraude informática são o “phishing” e o “pharming”, sendo que, em todas elas se coloca a questão de saber sobre quem recai a responsabilidade pela movimentação fraudulenta da conta bancária do lesado, através da internet.

O «phishing», tal como o Supremo Tribunal de Justiça o define, “pressupõe uma fraude eletrónica concretizada por tentativas de adquirir dados pessoais através por exemplo do envio de e-mails com uma pretensa proveniência de entidade bancárias do recetor e a pedir determinados elementos confidenciais como o número de conta, de contrato, de cartão de contribuinte ou qualquer outras informação pessoal por forma a que o destinatário ao abri-los e ao fornecer as informações solicitadas ao clicar para links para outras páginas (…) proporcione o furto de informações bancárias e a sua utilização subsequente pelo emitente de tais pedidos e ou mensagens”.

Por sua vez, o «pharming» é um ataque de phishing mais requintado, sendo “corrompido” o próprio nome do domínio redirecionando o utilizador para um sítio falso, em tudo semelhante ao verdadeiro, sempre que este digita o endereço correto.

O utilizador é levado para o site falso, mesmo que digite corretamente o endereço do site que pretendia, não sendo remetido qualquer e-mail com a mensagem enganosa.

Por fim, a «CEO Fraud», é um esquema informático em que o agente do crime, acedendo ilegitimamente à conta de correio eletrónico de um dirigente de uma empresa, ou utilizando um e-mail falso em nome deste, ou de outros colaboradores, envia uma, ou várias mensagens de correio eletrónico falsas, para destinatários com quem os ofendidos mantinham relações comerciais, induzindo os mesmos, por meio de erro, a realizarem transferências bancárias para destinatários designados pelos agentes do crime, à revelia dos legítimos beneficiários das operações, causando elevados prejuízos financeiros.

Empresas com fornecedores estrangeiros são frequentemente visadas com essa tática, na qual os atacantes fingem ser os fornecedores que solicitam transferências de fundos para pagamentos a uma conta pertencente aos atacantes.

A verdade é que nos casos mais frequentes de pishing ou pharming, onde não se verificam transferências internacionais, a jurisprudência tem vindo a entender que os riscos da falha do sistema informático utilizado, bem como dos ataques dos cibernautas aos mesmo, correm por conta do Banco, nos termos do artigo 796º do Código Civil, desde que não se prove a culpa do cliente/utilizador.

É ainda de referir o denominado “Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica” (DL 317/2009, com as alterações introduzidas pelo DL 242/2012 e DL 157/2014), que procedeu à transposição para a ordem jurídica interna da Diretiva n.º 2007/64/CE do Parlamento Europeu e do Conselho, que prevê um conjunto de obrigações recíprocas que incumbem ao prestador de serviços de pagamento e ao utilizador de tais serviços e regula igualmente, nos artigos 67.º a 72.º, a responsabilidade por operações de pagamento não autorizadas.

Nos termos do mencionado diploma, a responsabilidade por operações de pagamento não autorizadas incumbe, em princípio, ao prestador de serviços de pagamento (artigo71.º), cabendo ao ordenante nas situações previstas nos n.ºs 1 a 3 do artigo 72.º, designadamente em caso de negligência grave do ordenante.

Do referido Regime Jurídico, resulta igualmente que é sobre a entidade bancária que recai o ónus de provar que as operações de pagamento não autorizadas não decorreram de qualquer avaria técnica ou de qualquer outra deficiência, incumbindo-lhe ainda demonstrar que houve culpa do cliente/autor na utilização dos serviços disponibilizados, que contribuíram para os prejuízos causados.

Assim, ainda que cada caso careça de análise individual e detalhada, em regra, a entidade bancária só é desresponsabilizada quando consiga provar a omissão dos deveres de diligência por parte do utilizador (por exemplo, quando ocorre a divulgação a terceiro, ainda que supostamente de confiança, das coordenadas inscritas no cartão matriz).

Mais complexa é a questão quando se está perante uma situação de «Ceo Fraud», cada vez mais frequente em Portugal e que ocorrem, fundamentalmente, em caso de transferências bancárias internacionais.

Estas operações envolvem, para além do ordenante e do beneficiário, um banco que emite a ordem de transferência (banco emissor) e um banco que a recebe (banco beneficiário) localizados em países distintos, pelo que se poderá colocar a possibilidade de apuramento da responsabilidade deste último geradora da obrigação de indemnizar o lesado, quando se vê envolvido no esquema fraudulento.

Nesta matéria regem os Regulamentos (EU) nº 260/12 do Parlamento Europeu e do Conselho de 14 de Maio de 2012, alterado pelo Regulamento (EU) nº 248/2014 de 26 de Fevereiro de 2014, no que respeita às transferências realizadas dentro da União Europeia, e o Regulamento (UE) 2015/847 do Parlamento Europeu e do Conselho, de 20 de Maio de 2015, que regula a informação que deve acompanhar as transferências de fundos, igualmente fora da União Europeia e que tem como corolário a prevenção do crime de branqueamento de capitais.

Nos termos dos Regulamentos Comunitários, o banco do beneficiário deverá implantar procedimentos eficazes, que compreendam, quando proceda à transferência, a supervisão a posteriori ou em tempo real, para detetar uma possível falta de informação ou informação incompleta ou contraditória sobre o ordenante ou o beneficiário.

No caso em que as transferências de fundos excedam 1.000€, antes de provisionar a conta do beneficiário ou de pôr os fundos à sua disposição, o banco deverá comprovar a exatidão da informação àquele respeitante baseando-se em documentos, dados ou informações obtidas de fontes fiáveis e independentes.

As normas europeias apenas exigem a indicação do IBAN do ordenante e do beneficiário para transferências realizadas no espaço europeu

Relativamente às transferências de fundos em que o banco ordenante está estabelecido fora da União Europeia, deverá ser confirmada, em particular, a seguinte informação: o nome do beneficiário e o número de conta de pagamento.

Em Portugal, a Lei n.º 83/2017, de 18 de agosto estabelece medidas de natureza preventiva e repressiva de combate ao branqueamento de capitais e ao financiamento do terrorismo e, nesta medida, implementa também as medidas nacionais necessárias à efetivação do Regulamento n.º 2015/847.

No que respeita ao dever de verificar a exatidão das informações relativas ao beneficiário este diploma esclarece que a mesma se considera efetuada se:

- a identidade do cliente tiver sido verificada ou atualizada de acordo com o dever de identificação e diligência descrito no diploma, que se resume ao registo dos elementos de identificação da pessoa física ou coletiva de forma detalhada e sustentado em documentos de identificação válidos;

- as informações obtidas sejam objeto de conservação segundo o procedimento aí vertido que passa pela preservação das cópias e registos dos documentos disponibilizados pelo cliente ou outras entidades no momento da identificação, bem como documentação integrante dos processos ou ficheiros relativos aos clientes e às suas contas, incluindo a correspondência comercial enviada

Por último, e no que respeita questão da responsabilidade bancária pela manutenção de contas fraudulentas ativas, há que ter e atenção que as instituições bancárias têm alertas criados para detetar, entre outras, situações enquadradas nos indicadores de suspeição de branqueamento de capitais e financiamento do terrorismo, sendo certo que aqueles alertas só são ativados quando a conduta suspeita é realizada, seja ela a execução de uma operação bancária, a ausência de atividade por um período longo, a acumulação de um número considerável de contas bancárias abertas ou qualquer outra como tal identificada.

Em suma, ao contrário do que se verifica nos casos mais correntes de “pishing”, em situações de “Ceo Fraud a responsabilidade bancária é de mais difícil concretização.

 Teresa Lopes Ferreira Teresa Lopes Ferreira 

Departamento Direito Processual e Arbitragem | Portugal

 

Belzuz Advogados SLP

A presente Nota Informativa destina-se a ser distribuída entre Clientes e Colegas e a informaçăo nela contida é prestada de forma geral e abstracta, năo devendo servir de base para qualquer tomada de decisăo sem assistęncia profissional qualificada e dirigida ao caso concreto. O conteúdo desta Nota Informativa năo pode ser utilizada, ainda que parcialmente, para outros fins, nem difundida a terceiros sem a autorizaçăo prévia desta Sociedade. O objectivo desta advertęncia é evitar a incorrecta ou desleal utilizaçăo deste documento e da informaçăo, questőes e conclusőes nele contidas.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Lisboa

Belzuz Advogados - Escritório de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Porto

Belzuz Advogados - Escritório do Porto

Rua Julio Dinis 204, Off 314

  4050-318 Porto

+351 22 938 94 52

+351 22 938 94 54

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Associações

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa