Phishing: Notificação sem atrasos indevidos

Por Juan Añón, advogado especialista em Direito Civil e Comercial de Valência. 

O TJUE proferiu importante acórdão em 1º de agosto de 2025, no Processo C-665/23 – Veracash, esclarecendo o que se entende por notificação, sem demora indevida ou injustificada, pelo usuário do serviço de pagamento ao prestador de serviços bancários em caso de perda, roubo ou apropriação indébita do instrumento de pagamento ou de seu uso não autorizado, ou em caso de transações não autorizadas ou incorretamente executadas (doravante, utilizaremos os termos cliente bancário e instituição de crédito). A principal controvérsia em que se baseia a questão prejudicial submetida à decisão prejudicial dizia respeito a diversos saques efetuados com um cartão que a instituição de crédito havia enviado ao seu cliente, que negou tê-lo recebido. Os saques em dinheiro foram efetuados sucessivamente ao longo de um mês e meio, entre 30 de março de 3 e 2017 de maio de 17. O cliente comunicou esses saques como transações de pagamento não autorizadas em 5 de maio de 2017.

Os artigos 41 e 43.1 do Real Decreto-Lei 19/2018, de 23 de novembro, de serviços de pagamento, estabelecem a obrigação do utilizador do serviço de pagamento, o cliente bancário, de comunicar ao prestador do serviço de pagamento, a instituição de crédito, as circunstâncias acima mencionadas, que genericamente denominaremos operações de pagamento não autorizadas, comunicação que deverá ser efetuada sem demora injustificada.assim que tomar conhecimento de tais transações» e em qualquer caso no prazo de 13 meses a contar da data do débito da conta do montante da transação de pagamento não autorizada.

A jurisprudência do TJUE, incluindo o presente acórdão, remete para a Diretiva 2007/64, antecessora da atual Diretiva 2015/2366, mas ambas com o mesmo conteúdo quanto ao regime das obrigações das partes e da responsabilidade da instituição de crédito, sendo de destacar o TJUE de 9 de abril de 2014, C-616/11, T-Mobile Austria, o TJUE de 2 de setembro de 2021, C-337/20, CRCAM e o TJUE de 11 de julho de 2024, C-409/22, Eurobank Bulgaria, além deste último de 1 de agosto de 2025, C-665/23, Veracash.

Em todas essas decisões, o TJUE conclui que a responsabilidade da instituição de crédito é de natureza quase objetiva, conforme também destacado pela decisão do Supremo Tribunal, Câmara Cível, n.º 571/2025, de 9 de abril: a instituição de crédito só pode eximir-se da sua responsabilidade se provar que a operação de pagamento foi autenticada, registada e contabilizada com exatidão, e que não foi afetada por uma falha técnica ou outras deficiências relacionadas com o serviço de pagamento pelo qual é responsável, mas conforme previsto no artigo 44.2.º, n.º 19, do Real Decreto-Lei n.º 2018/41, quando o cliente bancário nega ter autorizado qualquer operação de pagamento, o referido registo da utilização do instrumento de pagamento não será necessariamente suficiente para demonstrar que a operação de pagamento foi autorizada pelo ordenante, nem que o ordenante agiu de forma fraudulenta ou que, deliberadamente ou por negligência grave, não cumpriu uma ou mais das suas obrigações nos termos do artigo XNUMX.º, incluindo a notificação sem demora injustificada da existência de uma operação de pagamento não autorizada.

Há uma forte inversão do ónus da prova, pelo que se considerarmos que na quase totalidade dos casos as pretensões dos utilizadores deste conceito, consumidores ou não, serão inferiores a 3.000€, ou seja, em processo oral sem acesso a recurso, o cumprimento desta obrigação de notificação sem demora é essencial, pois, salvo se forem demonstrados os motivos que exoneram a instituição de crédito, enquanto prestadora de serviços de pagamento, esta fica obrigada a restituir ao cliente o montante da operação de pagamento não autorizada, e a repor a conta no estado anterior ao débito desse montante.

Já no acórdão do TJUE de setembro de 2021, C-337/20, CRCAM, é indicado que o regime de responsabilidade decorrente da regulamentação dos serviços de pagamento assenta em três elementos essenciais interligados:

• Obrigação dos utilizadores de serviços de pagamento de notificarem o prestador de serviços de pagamento da existência de uma transação de pagamento não autorizada.
• O ônus da prova recai sobre o provedor de serviços de pagamento para demonstrar que o usuário do serviço de pagamento agiu de forma fraudulenta, violou deliberadamente suas obrigações ou foi gravemente negligente.
• Correção imediata do valor devido na conta do usuário do serviço de pagamento e restauração da conta ao seu status pré-débito.

Os acórdãos CRCAM e Veracash ratificam a interpretação da regulamentação europeia de serviços de pagamento de que a notificação exigida pelo cliente bancário é requisito essencial para obter da sua instituição de crédito a retificação do débito em conta no valor da operação de pagamento não autorizada, ou seja, que a retificação fica condicionada à referida notificação, sem demora injustificada, como requisito para que o cliente bancário acione o regime de responsabilidade da instituição de crédito, mas tendo em conta a expressão utilizada no art. 43.1.º, n.º 19, da Lei n.º 20189/XNUMX, "Em qualquer caso, no prazo máximo de treze meses a contar da data da dívida, Deve ser entendido como o prazo máximo dentro do qual a instituição de crédito deve receber a notificação, contado a partir da data do débito em conta do valor da operação de pagamento não autorizada.

Isto significa que o regime de responsabilidade da instituição de crédito, que só se aplica quando o cliente bancário cumpre a obrigação de notificação, implica a retificação imediata da operação de pagamento não autorizada. No entanto, a responsabilidade da instituição de crédito não é excluída quando o regime de responsabilidade específico do regulamento de serviços de pagamento não pode ser aplicado. Nesses casos, devem aplicar-se as regras gerais sobre a responsabilidade da instituição de crédito decorrente do contrato de conta corrente. Ou seja, a obrigação de retificação imediata não se aplicará, nem será invertido o ónus da prova quanto à questão de saber se o cliente bancário agiu de forma fraudulenta, ou em violação deliberada das suas obrigações, ou com negligência grave. Em vez disso, será o cliente bancário, que apresentar uma reclamação ou reconvenção, que deverá provar que não autorizou a operação de pagamento contestada.

A decisão do TJCE de 11 de julho de 2024, C-409/22, Eurobank Bulgaria, leva em consideração a definição de instrumento de pagamento, que inclui tanto dispositivos físicos (cartões e celulares) quanto qualquer conjunto de procedimentos (códigos PIN, códigos TAN, DigiPass, Bizum, etc.) acordados pelo USP e pelo PSP para iniciar uma ordem de pagamento. Dessa ampla consideração, conclui-se que o acordo entre ambas as partes deve ser expressamente declarado no contrato-quadro, sem descartar que o necessário acordo de vontades para a utilização desse tipo de serviço esteja contido no processo de ativação desses instrumentos ou serviços. A definição de instrumento de pagamento deve ser entendida como um conceito amplo, de modo que o tipo de tecnologia, o meio de transmissão das ordens de pagamento e o controle dos elementos de segurança não sejam decisivos, conforme destacado na decisão do TJCE de 9 de abril de 2014, C-616/11, T-Mobile Austria (conclusões do Advogado-Geral, parágrafo 39).

Considerando que as operações de pagamento só são consideradas autorizadas quando o ordenante tiver dado o consentimento para a sua execução, e que esse consentimento deve ser dado na forma acordada com a instituição de crédito, na ausência desse consentimento, a operação de pagamento deve ser considerada não autorizada (artigo 36.º do Real Decreto-Lei n.º 192018/XNUMX). Com base no exposto, ao abrigo do regime específico decorrente da regulamentação dos serviços de pagamento, a instituição de crédito é responsável pelos prejuízos sofridos pelo cliente bancário em resultado de operações de pagamento não autorizadas. A instituição de crédito só é exonerada desta responsabilidade quando apresentar prova qualificada de culpa por parte do cliente bancário, ou seja, de ação deliberada (mesmo fraudulenta) ou negligente grave. Esta responsabilidade recai sobre a instituição de crédito, mesmo que tenha agido de boa-fé, ou seja, quando tenha tomado todas as medidas necessárias para satisfazer os requisitos legais e as boas práticas bancárias. Este regime específico de responsabilidade das instituições de crédito baseia-se no princípio "faça primeiro o que faz, depois discuta", a fim de reforçar a proteção dos clientes bancários.

Na decisão do TJCE de 11 de julho de 2024, C-409/22, o Eurobank Bulgaria, ao se referir ao consentimento do cliente bancário, esclarece que este deve existir em relação à transação de pagamento e deve ser fornecido da forma acordada entre as partes. Disso, podemos concluir que, quando o cliente bancário atua sob o efeito de fraude do cibercriminoso (phishing) e fornece suas senhas, etc., não se pode dizer que ele consentiu com essa transação de pagamento não autorizada, mas apenas que facilitou o acesso e o uso de um instrumento de pagamento. Nesse sentido, o artigo 66 do acórdão afirma que a autenticação de uma transação de pagamento é uma obrigação da instituição de crédito, que visa verificar a utilização do instrumento de pagamento a fim de comprovar que o usuário de tais serviços deu consentimento para a execução da transação, para que esta possa ser considerada autorizada. A obrigação da instituição de crédito não se esgota na autenticação formal, pressupondo-se que foi o cliente bancário quem realizou a transação, pois utiliza as chaves de segurança personalizadas fornecidas pela instituição de crédito. A utilização do instrumento de pagamento nada mais é do que isso, uso do instrumento, e não necessariamente fruto do consentimento do cliente bancário.

Até à data, nestes três acórdãos (TJ 3-9-4, C-2014/616, T-Mobile Austria; TJ 11-2-9, C-21/337, CRCAM e TJ 20-11-7, C-2024/409, Eurobank Bulgaria, TJUE), o TJUE pronunciou-se sobre a interpretação do artigo 22.º da Diretiva 58/2007, aplicável a estes casos, interpretação que se mantém inalterada em relação ao artigo 64.º da atual Diretiva 71/2025 e, portanto, também aplicável ao artigo 2366.º do Real Decreto-Lei 43/19. Esta interpretação referia-se ao regime de obrigações e responsabilidades de cada parte, e especificamente à obrigação do cliente bancário de notificar a instituição de crédito da existência de uma operação de pagamento não autorizada, como condição essencial para obter a retificação do montante devido por essa operação. No entanto, com a decisão do TJCE de 2018-1-8, C-2025/665, Veracash, o TJCE ampliou a interpretação ao definir o momento em que tal notificação deve ser feita sem demora injustificada e as consequências do não cumprimento.

Este acórdão, tendo em conta o considerando 31 da Diretiva 2007/64, idêntico ao considerando 71 da Diretiva 2015/2366 , analisa o alcance da obrigação do cliente bancário de comunicar à sua instituição de crédito que tomou conhecimento de qualquer operação de pagamento não autorizada ou indevidamente executada, obrigação que deve ser cumprida.sem demora indevida"E"no máximo 13 meses a partir da data da dívida», a menos que, se for o caso, o prestador de serviços de pagamento não tenha fornecido ou disponibilizado ao cliente as informações sobre a operação de pagamento, em conformidade com o Título III da Diretiva 2007/64 e a Diretiva 2025/2366, que correspondem às contidas no Título II do Real Decreto-Lei 19/2018. Esta decisão aborda especificamente a questão de saber se o cliente bancário perde o direito à retificação do valor devido quando a notificação é efetuada com atraso injustificado, mas dentro do prazo de 13 meses a contar da data do débito.

O TJUE reitera neste acórdão que a obrigação de notificação sem demora injustificada a partir do momento em que o cliente bancário toma conhecimento de uma operação de pagamento não autorizada, em primeiro lugar, é uma manifestação específica do dever de cuidado do cliente bancário, em segundo lugar, constitui um elemento essencial do regime de responsabilidade para este tipo de operações de pagamento não autorizadas, como já foi afirmado no TJUE 2-9-2021 (C-337/20, CRCAM), e, por fim, a obrigação de notificação sem demora injustificada serve de referência para a repartição de responsabilidades entre o cliente bancário e a instituição de crédito, tudo em qualquer uma das circunstâncias indicadas nos parágrafos 34 a 37 das Conclusões do Advogado-Geral, ou seja, se o cliente bancário tem conhecimento da perda, furto ou remoção do instrumento de pagamento, ou da sua utilização não autorizada, ou quando o cliente bancário tem conhecimento de qualquer operação não autorizada, ou quando as duas situações anteriores ocorrem (quase) simultaneamente, porque uma operação não autorizada pode ser subsequente à perda, furto, remoção ou utilização não autorizada do instrumento de pagamento, mas nem todo pagamento não autorizado a transação deve ser resultado da perda, roubo, remoção ou uso não autorizado de um instrumento de pagamento.

A finalidade da notificação em caso de perda, roubo ou apropriação indevida de um instrumento de pagamento, ou da sua utilização não autorizada, conforme exigido pelo artigo 41.º do Real Decreto-Lei n.º 19/2018 (artigo 56.º da Diretiva 2007/64 e artigo 69.º da Diretiva 2015/2366), é preventiva por natureza, para permitir ao prestador de serviços de pagamento bloquear o instrumento de pagamento e impedir futuras utilizações não autorizadas. A finalidade da notificação prevista no artigo 43.º do Real Decreto-Lei n.º 19/2018 (artigo 58.º da Diretiva 2007/64 e artigo 71.º da Diretiva 2015/2366) tem uma função compensatória, para permitir ao ordenante reclamar e obter o reembolso de transações não autorizadas. No entanto, em ambos os casos, as obrigações de notificação devem ser aplicadas de forma coerente, entendendo que a obrigação de notificação é subsumido na notificação (e reclamação) de uma operação não autorizada.

Neste Acórdão de 1 de agosto de 2025, C-665/23, Veracash, parágrafos 38 e 39, o TJUE indica que se trata de dois requisitos temporalmente distintos, embora um seja de natureza subjetiva e obrigue o cliente bancário a agir o mais breve possível, iniciando-se a partir do momento em que toma conhecimento da existência da operação de pagamento não autorizada, e, por outro lado, o prazo de treze meses seja de natureza objetiva e comece a correr a partir da data do débito. A ação "sem demora indevida"Terá que ser valorizado, como sempre",tendo em conta as circunstâncias em que se encontra» o cliente do banco.

A decisão Veracash conclui que a notificação feita dentro de 13 meses da data da dívida não é suficiente para cumprir a notificação.sem demora indevida» da existência de uma operação de pagamento não autorizada, obrigação que deve ser cumprida a partir do momento em que o cliente bancário dela toma conhecimento, pelo que a finalidade preventiva da comunicação fica prejudicada se se admitir a validade de qualquer comunicação efetuada sem exceder o prazo de 13 meses, o que em qualquer caso se considera como máximo dentro do qual deve ser verificada a notificação antecipada, que deve ser efetuada o mais rapidamente possível, sem demora injustificada, sem demora injustificada, enfim, o mais rapidamente possível a partir do momento em que o cliente bancário toma conhecimento da execução da operação de pagamento não autorizada.

O parágrafo 51 deste acórdão estabelece a seguinte conclusão: “ Decorre do exposto que a obrigação de notificação estabelecida no artigo 58.º da Directiva – referindo-se a D/2007/64 – Só se considera cumprido se for cumprido o duplo requisito: em primeiro lugar, o utilizador do serviço de pagamento notificar o seu prestador de serviços de pagamento, sem demora injustificada, de que tomou conhecimento de uma transação de pagamento não autorizada e, em segundo lugar, que a notificação seja feita no prazo máximo de treze meses após a data do débito.

            A conclusão do acórdão do TJCE de 1-8-2025 (C-665/23, Veracash) é evidente, conforme consta no parágrafo 56: o utilizador de serviços de pagamento, "Em princípio, você será privado do direito de obter a retificação de uma transação se não notificar seu provedor de serviços de pagamento sem demora injustificada de que tomou conhecimento de uma transação de pagamento não autorizada, mesmo que tenha notificado o mesmo dentro de treze meses da data do débito. E em consonância com o disposto no parágrafo 76, esclarece que a privação do direito de retificação ocorrerá, exceto em caso de conduta fraudulenta, se o cliente bancário tiver retardado a prestação da comunicação, seja por dolo ou negligência grave, configurando flagrante violação do dever de cuidado.

E no caso de existirem várias operações de pagamento sucessivas, como no caso concreto do presente acórdão C-665/23, Veracash, realizadas através da utilização do mesmo instrumento de pagamento perdido, roubado ou desviado, ou através da utilização não autorizada desse instrumento, o cliente bancário apenas ficará privado do direito de obter o reembolso dos prejuízos causados ​​em consequência das operações que tenha deliberadamente atrasado a notificação ao seu prestador de serviços de pagamento, ou por negligência grave, ou, o que é o mesmo, a instituição de crédito apenas deixará de ser responsável, cessando a sua obrigação de retificação relativamente às operações de pagamento não autorizadas anteriores à notificação, mas não aquelas posteriores a esta, ou aquelas em que o atraso indevido não possa ser qualificado como deliberado ou por negligência grave.

As conclusões retiradas de tudo o que foi apresentado até aqui são, remetendo-se também para o Acórdão do Tribunal Cível do STS, n.º 571/2025, de 9 de abril, que a obrigação do utilizador do serviço de pagamento, o cliente bancário, em caso de operação de pagamento não autorizada (caso de phishing, por exemplo), é a de comunicar imediatamente ao prestador do serviço de pagamento, a instituição de crédito, logo que dela tome conhecimento, obrigação idêntica à que tem quando toma conhecimento da perda, furto ou apropriação indevida do instrumento de pagamento ou da sua utilização não autorizada. O prestador do serviço de pagamento, a instituição de crédito. tem a obrigação de retificar e reembolsar imediatamente em caso de transações de pagamento não autorizadas ou incorretamente executadas, mas sob a condição de que o usuário do serviço de pagamento o informe sem demora injustificada, a menos que tenha motivos razoáveis ​​para suspeitar da existência de fraude e comunique esses motivos por escrito ao Banco de Espanha, sendo a instituição de crédito responsável por demonstrar que a transação de pagamento foi autenticada, registrada e contabilizada com precisão, e que não foi afetada por uma falha técnica ou outra deficiência no serviço prestado pelo prestador de serviços de pagamento, mas o simples fato de registrar o uso do instrumento de pagamento não é suficiente para demonstrar que a transação de pagamento foi autorizada pelo pagador, ou que este último agiu de forma fraudulenta ou deliberadamente ou por negligência grave não cumpriu uma ou mais de suas obrigações, sendo o prestador de serviços de pagamento, a instituição de crédito, a prova de que o usuário do serviço de pagamento cometeu fraude ou negligência grave.

A obrigação do utilizador do serviço de pagamento, o cliente bancário, ao tomar conhecimento da existência de qualquer operação de pagamento não autorizada deve ser cumprida o mais rapidamente possível após tal conhecimento. Esta notificação não pode exceder 13 meses a partir da data em que a operação contestada for debitada da conta de pagamento. O regime de responsabilidade do prestador de serviços de pagamento, mediante o cumprimento das condições acima, é quase objetivo, e apenas a instituição de crédito será exonerada da obrigação de retificar a conta de pagamento e devolvê-la ao momento anterior ao débito da operação, em caso de conduta fraudulenta por parte do cliente bancário, ou violação deliberada das suas obrigações, ou com negligência grave.

Considerandos de ambas as directivas: «A fim de reduzir os riscos e as consequências de transações de pagamento não autorizadas ou incorretamente executadas, o utilizador do serviço de pagamento deverá informar o prestador de serviços de pagamento, o mais rapidamente possível, de quaisquer potenciais reclamações relacionadas com alegadas transações de pagamento não autorizadas ou incorretamente executadas, desde que o prestador de serviços de pagamento tenha cumprido as suas obrigações de informação nos termos da presente diretiva. Se o utilizador do serviço de pagamento cumprir o prazo de notificação, deverá ter a oportunidade de apresentar essa reclamação dentro dos prazos de prescrição aplicáveis ​​nos termos da legislação nacional. A presente diretiva não deverá afetar outras reclamações entre utilizadores e prestadores de serviços de pagamento.