O fim anunciado da “negligência grosseira” como escudo dos bancos
Já diversas vezes aqui escrevi sobre a responsabilidade bancária em casos de fraude digital, seja phishing, pharming ou outro qualquer mecanismo de engenharia social.
Até porque nos últimos anos, o phishing ou qualquer outra forma de engenharia social deixaram de ser um risco remoto para se tornarem uma realidade quotidiana para milhares de consumidores. Em Portugal, porém, à perda financeira causada pela fraude digital soma-se frequentemente uma segunda frustração: a recusa dos bancos em reembolsar os montantes indevidamente subtraídos, com base na alegada “negligência grosseira” do cliente.
Esta prática, generalizada do sector bancário, merece ser repensada há muito. Mas ainda mais à luz das recentes conclusões do advogado-geral da União Europeia no Processo C-70/25 que corre termos no Tribunal de Justiça da União Europeia (TJUE).
Está em causa a interpretação da diretiva europeia que regula os serviços de pagamento, e, em particular, a questão de saber se um banco pode recusar, o reembolso de uma operação não-autorizada por entender que o cliente agiu com negligência grosseira.
As conclusões do advogado-geral no processo do TJUE supramencionado são claras e têm implicações profundas: não pode.
A diretiva, que foi transposta pelo legislador português e que tem aplicabilidade em Portugal, estabelece como regra que, perante uma operação não-autorizada, o banco deve reembolsar imediatamente o cliente, em regra até ao final do dia útil seguinte. Essa obrigação só pode ser afastada em circunstâncias muito específicas, designadamente quando exista suspeita fundada de fraude por parte do próprio cliente, devidamente comunicada às autoridades criminais. Ou seja, ou o banco suspeita que o seu cliente é um criminoso, e apresenta uma queixa-crime contra o mesmo, ou tem a obrigação de o reembolsar de imediato.
O ponto decisivo e inovador está em estabelecer uma distinção entre dois momentos distintos, que a prática bancária tende a confundir. Num primeiro momento, o banco tem o dever de reembolsar. Num segundo momento, se entender que houve negligência grosseira, pode procurar responsabilizar o cliente e exigir a restituição do montante. Ou seja, a eventual culpa do cliente não elimina o dever inicial de reembolso.
Esta leitura tem uma consequência relevante: o ónus da iniciativa e da prova e da atuação judicial recai sobre o banco. Não basta ao banco invocar, de forma genérica, que o cliente clicou num link ou forneceu dados. É necessário demonstrar, de forma concreta, o incumprimento grave dos deveres de segurança a que o cliente estava adstrito contratualmente.