O fim anunciado da “negligência grosseira” como escudo dos bancos

Já diversas vezes aqui escrevi sobre a responsabilidade bancária em casos de fraude digital, seja phishing, pharming ou outro qualquer mecanismo de engenharia social.

Até porque nos últimos anos, o phishing ou qualquer outra forma de engenharia social deixaram de ser um risco remoto para se tornarem uma realidade quotidiana para milhares de consumidores. Em Portugal, porém, à perda financeira causada pela fraude digital soma-se frequentemente uma segunda frustração: a recusa dos bancos em reembolsar os montantes indevidamente subtraídos, com base na alegada “negligência grosseira” do cliente.

Esta prática, generalizada do sector bancário, merece ser repensada há muito. Mas ainda mais à luz das recentes conclusões do advogado-geral da União Europeia no Processo C-70/25 que corre termos no Tribunal de Justiça da União Europeia (TJUE).

Está em causa a interpretação da diretiva europeia que regula os serviços de pagamento, e, em particular, a questão de saber se um banco pode recusar, o reembolso de uma operação não autorizada por entender que o cliente agiu com negligência grosseira.

As conclusões do Advogado Geral no processo do TJUE supramencionado são claras e têm implicações profundas: não pode.

A diretiva, que foi transposta pelo legislador português e que tem aplicabilidade em Portugal, estabelece como regra que, perante uma operação não autorizada, o banco deve reembolsar imediatamente o cliente, em regra até ao final do dia útil seguinte. Essa obrigação só pode ser afastada em circunstâncias muito específicas, designadamente quando exista suspeita fundada de fraude por parte do próprio cliente, devidamente comunicada às autoridades criminais. Ou seja, ou o Banco suspeita que o seu cliente é um criminoso e apresenta uma queixa-crime contra o mesmo ou tem a obrigação de o reembolsar de imediato.

O ponto decisivo e inovador está em estabelecer uma distinção entre dois momentos distintos, que a prática bancária tende a confundir. Num primeiro momento, o banco

tem o dever de reembolsar. Num segundo momento, se entender que houve negligência grosseira, pode procurar responsabilizar o cliente e exigir a restituição do montante. Ou seja, a eventual culpa do cliente não elimina o dever inicial de reembolso.

Esta leitura tem uma consequência relevante: o ónus da iniciativa e da prova e da atuação judicial recai sobre o banco. Não basta ao banco invocar, de forma genérica, que o cliente clicou num link ou forneceu dados. É necessário demonstrar, de forma concreta, o incumprimento grave dos deveres de segurança a que o cliente estava adstrito contratualmente.

Lamentavelmente em Portugal, o que se verifica é muitas vezes o inverso. Os bancos recusam o reembolso e colocam o consumidor na posição de ter de recorrer aos tribunais para recuperar o seu dinheiro. Esta prática não só contraria o espírito da legislação europeia, como esvazia, na prática, a proteção que a legislação pretende assegurar.

Num contexto em que as fraudes digitais são cada vez mais sofisticadas, exigir ao consumidor um comportamento infalível é ignorar a realidade. A diretiva europeia fez uma escolha clara: atribuir aos bancos - que controlam os sistemas e os riscos - a responsabilidade primária pela proteção dos valores monetários.

Se o TJUE confirmar este entendimento, como é expectável, será difícil manter este “modus operandi” generalizado dos bancos. E, salvo melhor opinião, ainda bem. Ser vítima de fraude já é, por si só, suficientemente grave. Não deve implicar, também, o ónus de lutar judicialmente contra quem deveria, à partida, garantir a reposição da normalidade da conta bancária.