O Supremo Tribunal voltou a pronunciar-se sobre a responsabilidade dos bancos em casos de fraude no roubo de identidade, mas fê-lo com uma mensagem que vai além do caso específico em análise. Na decisão, proferida em 27 de novembro, o tribunal superior mantém os seus critérios tradicionais para transações anteriores, embora espere alterações correspondentes assim que as novas regras europeias sobre serviços de pagamento entrarem em vigor.
O regulamento baseia-se no quadro legal em vigor à data dos factos, mas contém um aviso claro: a partir de 9 de outubro de 2025, as instituições financeiras são obrigadas a verificar se o número de conta indicado durante a transferência corresponde efetivamente ao destinatário pretendido. Esta nova responsabilidade de supervisão altera significativamente a distribuição da responsabilidade por fraude bancária.
O caso antes das mudanças regulatórias
O processo, decidido pelo Supremo Tribunal Federal, diz respeito a uma operação realizada em outubro de 2019. A empresa recebeu um e-mail afirmando ser um dos seus fornecedores habituais e informando uma suposta alteração na conta bancária. Como resultado desta mensagem fraudulenta, a empresa ordenou diversas transferências para o novo IBAN especificado.
O dinheiro acabou nas mãos de terceiros e não do próprio fornecedor. Perante esta situação, a empresa afetada exigiu a devolução dos valores transferidos à sua instituição financeira, acreditando que o banco deveria ter descoberto a anomalia.
Regras em vigor em 2019
O Supremo Tribunal recorda que as transferências foram realizadas no âmbito do Real Decreto-Lei de 2018 sobre serviços de pagamento. Esta regra estabelecia que uma ordem de transferência era considerada corretamente executada se o banco enviasse os fundos para um identificador único fornecido pelo remetente, ou seja, para o IBAN.
Ao abrigo deste quadro legal, as entidades não eram obrigadas a verificar se o nome do beneficiário correspondia ao verdadeiro titular da conta. Por este motivo, o Supremo Tribunal argumenta que neste caso específico o banco não foi responsável por efetuar uma transferência com base nos dados fornecidos pelo cliente.
Dever de cuidado após fraude
Embora isente a organização da responsabilidade pelo desempenho inicial, a decisão é um lembrete de que os bancos têm obrigações quando a fraude é descoberta. Estas incluem tentar devolver os fundos transferidos e fornecer ao cliente, mediante solicitação por escrito, todas as informações disponíveis para tomar medidas legais.
Este dever de cooperação continua a ser o padrão mínimo de ação, mesmo quando as regras não preveem a verificação prévia da identidade do beneficiário.
Inversão de marcha introduzida pela União Europeia
A parte mais importante da decisão não se encontra na análise do caso de 2019, mas na referência direta ao novo Regulamento Europeu dos Serviços de Pagamento, aprovado em março de 2024 e obrigatório a partir de 9 de outubro de 2025. Este regulamento impõe às instituições financeiras a obrigação de verificar se o destinatário da transferência é o mesmo que o verdadeiro titular da conta de destino.
O Supremo Tribunal sublinha que esta alteração regulamentar altera o panorama jurídico e abre a porta para futuras revisões da sua jurisprudência. A partir desta data, os bancos devem comprovar que cumpriram este teste, caso contrário assumirão a responsabilidade pelos danos económicos causados pela fraude.
Notificação direta ao setor financeiro
Especialistas em direito bancário interpretam a decisão como um claro alerta às instituições financeiras. Embora o tribunal ainda não tenha alterado a sua doutrina, afirma que as fraudes cometidas após a entrada em vigor da nova regulamentação devem ser analisadas segundo diferentes parâmetros.
Do ponto de vista jurídico, o aviso implica que as entidades não poderão esconder-se atrás apenas de uma correção formal do IBAN. A verificação do beneficiário torna-se fundamental para a prevenção de fraudes.
Impacto Econômico do Phishing
O contexto em que esta mudança ocorre é importante. Segundo o Instituto Nacional de Cibersegurança e o Banco de Espanha, o impacto económico do phishing é estimado em 170 milhões de euros em 2025.
As projeções apontam para cerca de 30.000 casos por ano, impulsionados por um aumento nos ataques a telemóveis e pela utilização de técnicas avançadas baseadas em inteligência artificial para personificar indivíduos com maior precisão.
O que vai mudar para clientes e bancos a partir de outubro
Ao abrigo do novo quadro regulamentar, o ónus da prova transfere parcialmente para as instituições financeiras. Em caso de fraude após 9 de outubro de 2025, os bancos devem demonstrar que implementaram os mecanismos de verificação exigidos pela legislação europeia.
Caso contrário, o Supremo Tribunal já sugere que poderão ser responsabilizados pelo prejuízo económico sofrido pelo cliente, mesmo que o cliente tenha inserido corretamente o IBAN especificado na ordem de pagamento.
A advertência do Supremo Tribunal marca assim um “antes” e um “depois” na luta contra a fraude bancária e redefine o papel da banca na proteção dos utilizadores contra o roubo de identidade.
