Há alguns dias, o relato cotidiano de uma fraude digital chegou aos degraus mais altos do direito europeu: um cliente polonês perdeu dinheiro depois de cair em um ataque de phishing e seu banco, PKO BP, recusou-se a reembolsar-lhe. Esse caso — uma venda numa plataforma de leilão, um link malicioso que imitava a tela de acesso do banco, credenciais introduzidas e uma transferência feita pelos criminosos — terminou no Tribunal de Distrito de Koszalin, que levantou uma questão prejudicial ao Tribunal de Justiça da União Europeia (TUE).
O advogado-geral do TUE, Athanasios Rantos, publicou agora uma opinião formal sobre o assunto que, embora não seja uma sentença vinculativa, marca a direção provável em que o tribunal se moverá. Em termos simples: Rantos considera que, de acordo com a Directiva Europeia relativa aos serviços de pagamento (PSD2), o banco deve reembolsar imediatamente ao cliente o montante de uma operação não autorizada, salvo disposição de motivos fundamentados para suspeitar que o próprio cliente agiu fraudulentamente. Essa suspeita deve, além disso, comunicar-se por escrito à autoridade nacional competente.
Os textos oficiais explicam a recomendação do Advogado Geral com detalhes. O comunicado do TUE contém as conclusões de Rantos e parte da análise jurídica que sustenta a obrigação de reembolso provisório, disponível no sítio oficial do Tribunal: comunicado do TUE. O texto completo da opinião do advogado-geral também pode ser consultado na base de jurisprudência do Tribunal: texto integral da opinião.
É importante colocar isto no quadro normativo: a Directiva (UE) 2015/2366 conhecida como PSD2 regula as obrigações dos prestadores de serviços de pagamento - incluindo os bancos - e os direitos dos utilizadores contra operações não autorizadas. A directiva e a sua finalidade podem ser lidas no portal da União Europeia sobre serviços de pagamento: explicação da PSD2 na Comissão Europeia e o texto legal no repositório EUR-Lex: Directiva (UE) 2015/2366.
O que isso significa, na prática, para uma pessoa que sofreu phishing? Primeiro, que a presunção inicial iria a favor do cliente: se denunciar a operação como não autorizada, o banco deveria devolver-lhe o montante sem dilações, salvo que tenha razões claras para pensar que esse cliente agiu de forma fraudulenta. Segundo, que o reembolso inicial não fecha o assunto: se o banco conseguir demonstrar mais adiante que o cliente pôs de forma intencional ou com grave negligência Os seus dados de segurança (por exemplo, partilhando palavras-passe deliberadamente), podem exigir ou exigir ao cliente que assuma a perda; e, se este se recusar, deverá recorrer aos tribunais para obter esse reembolso.
Esse equilíbrio — reembolso imediato com possibilidade de recuperação posterior — pretende proteger o usuário que tem sido vítima de técnicas cada vez mais sofisticadas, sem exonerar completamente a responsabilidade pessoal quando houver comportamentos claramente retingidos com as obrigações de segurança. Na prática, isso obrigaria as entidades a reagir rapidamente a denúncias de fraude, e também a documentar de forma rigorosa qualquer motivo fundado para suspeitar da conduta do cliente, porque essa suspeita tem que se comunicar por escrito à autoridade nacional segundo a interpretação que propõe o advogado-geral.
As consequências para o ecossistema financeiro e para a luta contra a fraude podem ser profundas. Para as vítimas, a vantagem é óbvia: recuperar fundos rapidamente evita angústias económicas e reduz o impacto imediato de uma fraude. Para os bancos, no entanto, a obrigação de reembolso provisório implica um aumento de custos operacionais e a necessidade de melhorar as suas capacidades de detecção e análise de incidentes para justificar, quando adequado, a falta de reembolso e a subsequente reclamação. Para a fraude, a medida dificulta que os criminosos mantenham indefinidamente o botín em contas que não reclamam, embora não impeça as táticas iniciais de engenharia social que continuam a ser o vetor maioritário de fraudes como o phishing, segundo organismos europeus que estudam o fenômeno (ver, por exemplo, o seguimento da Europol sobre phishing: Europol: phishing).
Do ponto de vista prático, isso também coloca uma pressão acrescida sobre as entidades para investirem em autenticação mais robusta e em medidas que impeçam que credenciais roubadas permitam operações não autorizadas. A PSD2 e as normas técnicas associadas já apostaram pela autenticação reforçada do cliente, mas a interpretação do Advogado Geral reforça o incentivo: se o banco for o que deve responder inicialmente, interessa-lhe reduzir a probabilidade de acessos fraudulentos.
Há que sublinhar por último uma questão processual e política: a opinião de um advogado-geral não é a última palavra. A sua função é orientar o Tribunal; os juízes do TUE podem seguir essa linha ou matizá-la na sentença definitiva, que será a que marque jurisprudência obrigatória para os tribunais dos Estados-Membros. Até então, a opinião de Rantos é um sinal claro de para onde o Tribunal poderia inclinar-se, mas não um mandato com efeito imediato e uniforme em toda a União.
Em termos humanos, tais decisões reformulam como o risco é repartido entre clientes e bancos na era digital. O objetivo é simples e legítimo: que quem sofre uma fraude receba uma resposta rápida e que as responsabilidades sejam determinadas com provas, não pela inércia da conta vazia. A sentença do TUE deve ser levada a cabo e, enquanto isso, deve recordar que a prevenção — não clicar em links suspeitos, verificar sempre o URL de um banco, usar autenticação em dois passos e denunciar quanto antes — continua a ser a primeira barreira contra as fraudes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...