Durante anos, em casos de phishing, vishing, smishing e outros esquemas de engenharia social, a resposta da banca foi quase automática: a culpa é do cliente. A invocação da negligência grosseira do cliente bancário tornou-se o argumento padrão para afastar qualquer dever de reembolso, mesmo quando os prejuízos eram elevados e os esquemas cada vez mais sofisticados.Esse paradigma começa agora a ser seriamente questionado com a transposição do Regulamento DORA (Digital Operational Resilience Act) para a legislação portuguesa. O novo enquadramento europeu parte de uma premissa diferente: o phishing não é um acidente isolado nem um comportamento excecional do utilizador, mas um risco conhecido, recorrente e explorado de forma sistemática no sistema financeiro digital.Mais do que um diploma técnico sobre resiliência operacional e riscos, o DORA tem implicações diretas na forma como se distribui a responsabilidade entre bancos e clientes. Quando um risco é previsível, estatisticamente relevante e tecnicamente mitigável, a sua gestão não pode ser transferida de forma automática para o utilizador final.Durante muito tempo, a análise destes casos centrou-se quase exclusivamente na conduta do cliente: se clicou num link, se forneceu códigos, se ignorou alertas. Essa abordagem ignora, porém, uma realidade incontornável. Os esquemas de engenharia social exploram fragilidades humanas previsíveis, muitas vezes potenciadas pelo próprio desenho dos sistemas de autenticação, pela ausência de alertas eficazes ou pela falta de monitorização em tempo real de transações anómalas.O DORA impõe às instituições financeiras deveres claros de identificação, prevenção, mitigação e resposta a incidentes digitais. Estes deveres não se esgotam na infraestrutura tecnológica. Abrangem também os processos, a governação interna e a forma como os serviços são disponibilizados aos clientes, incluindo a consideração do fator humano como parte integrante do risco.Enquanto advogado que acompanha estas matérias há vários anos, tenho observado uma evolução consistente no escrutínio regulatório e jurisprudencial. A pergunta central deixou de ser apenas se o cliente foi enganado. Passou a ser também se o banco fez tudo o que era razoavelmente exigível para evitar o dano.A invocação genérica da negligência grosseira começa, assim, a perder força quando confrontada com a exigência de mecanismos adequados de autenticação, deteção de padrões anómalos, bloqueio preventivo de operações suspeitas e resposta célere a incidentes.A transposição do DORA para a ordem jurídica portuguesa vem consolidar esta mudança de paradigma. Não elimina a responsabilidade do cliente bancário, mas limita a sua utilização como resposta automática e indiferenciada. Num sistema financeiro cada vez mais digital, a responsabilidade tende a acompanhar quem controla o risco, quem define os sistemas e quem beneficia economicamente da sua operação, e, para que não sobrem dúvidas, quem o faz é o banco.Mais do que um novo regulamento, o DORA, que agora tem força de Lei em Portugal, representa um ponto de viragem na forma como se encara a fraude digital. Marca o fim da imputação sistemática do prejuízo ao cliente e obriga os Bancos a respeitarem a confiança com que lhes entregamos o nosso dinheiro.