Um assessor do Tribunal de Justiça da União Europeia afirmou que os bancos devem reembolsar clientes que perdem dinheiro com golpes de phishing, mesmo que o cliente possa ter contribuído para o incidente.
A opinião foi emitida por Athanasios Rantos, Procurador-Geral do Tribunal de Justiça da União Europeia, o mais alto tribunal da UE responsável por interpretar o direito da União Europeia. A opinião diz respeito a como os bancos devem lidar com transações não autorizadas realizadas após os clientes serem enganados por ataques de phishing. Ela está relacionada à interpretação das regras estabelecidas na Diretiva dos Serviços de Pagamento da UE, que regula pagamentos eletrônicos em toda a União Europeia.
De acordo com a opinião, os bancos devem reembolsar os clientes imediatamente após um pagamento não autorizado, a menos que haja motivos razoáveis para suspeitar que o cliente cometeu fraude. Nesses casos, o banco deve notificar por escrito a autoridade nacional competente.
A decisão segue um pedido de esclarecimento do Tribunal Distrital de Koszalin, Polônia. O tribunal solicitou ao tribunal da UE que interpretasse a diretiva em uma disputa envolvendo o PKO Bank Polski, um banco polonês controlado pelo Estado, e um de seus clientes.
O caso diz respeito a um incidente de phishing envolvendo um cliente que estava vendendo um item por meio de uma plataforma online. O cliente recebeu uma mensagem de uma pessoa se passando por comprador que enviou um link imitando o site do banco. Após clicar no link, o cliente digitou as credenciais bancárias na página fraudulenta.
As informações permitiram que o atacante acessasse a conta bancária do cliente e iniciasse uma transferência não autorizada. O cliente descobriu a transação e a reportou ao banco no dia seguinte.
O PKO Bank Polski recusou-se a reembolsar os fundos. O banco argumentou que o cliente demonstrou negligência grave ao fornecer credenciais de login no site fraudulento. O cliente então apresentou o caso ao tribunal polonês.
Em sua opinião, Rantos afirmou que, segundo as regras de pagamento da UE, o banco deve primeiro reembolsar o valor da transação não autorizada. Se o banco acreditar que o cliente violou intencionalmente obrigações de segurança ou agiu com negligência grave, pode tentar recuperar os fundos posteriormente.
De acordo com a opinião, o ônus de buscar o pagamento recauria sobre o banco. Se o cliente se recusar a devolver o valor, o banco pode iniciar uma ação judicial para recuperar o valor.
A opinião afirma que a autenticação de uma transação usando credenciais de login corretas não prova automaticamente que o pagamento foi autorizado pelo cliente. Os bancos devem demonstrar que o cliente agiu de forma fraudulenta ou com negligência grave se pretendem negar o reembolso.
Uma opinião do Advogado-Geral não é uma decisão final. Trata-se de uma recomendação jurídica fornecida para auxiliar os juízes do Tribunal de Justiça da União Europeia na preparação de uma decisão. O tribunal emitirá sua sentença em data posterior.