Proponha uma correção, faça uma sugestão
Tribunal da UE: bancos devem reembolsar imediatamente vítimas de phishing
Um parecer jurídico apresentado no Tribunal de Justiça da União Europeia defende que os bancos devem reembolsar imediatamente clientes vítimas de phishing após transações não autorizadas, mesmo quando o próprio utilizador tenha cometido um erro que tenha facilitado a fraude.
Parecer surge após caso entre banco polaco e cliente
Athanasios Rantos, Advogado-Geral do Tribunal de Justiça da União Europeia, emitiu uma opinião formal onde sugere que os bancos devem devolver de imediato o dinheiro aos titulares de contas afetados por transações não autorizadas.
O parecer surge na sequência de um pedido de decisão prejudicial apresentado pelo Tribunal Distrital de Koszalin, na Polónia, no âmbito de um litígio entre o banco PKO BP S.A. e um dos seus clientes.
Fraude começou com um link malicioso
O caso envolve uma fraude de phishing. O cliente tinha colocado um artigo à venda numa plataforma de leilões online e foi contactado por um burlão que lhe enviou um link malicioso para uma página que imitava a interface de login do banco.
Ao aceder a essa página, o cliente introduziu os dados de acesso à conta bancária. O burlão utilizou depois essas credenciais para realizar um pagamento não autorizado.
A vítima comunicou a transação no dia seguinte ao banco e à polícia. No entanto, os fraudadores nunca foram identificados e o banco recusou devolver o dinheiro perdido. Perante essa recusa, o cliente avançou com uma ação judicial.
Diretiva europeia pode obrigar bancos a reembolsar primeiro
O conflito surgiu porque o banco defendeu que poderia recusar o reembolso se a perda tivesse sido causada por negligência do cliente.
No entanto, segundo Athanasios Rantos, a Diretiva Europeia dos Serviços de Pagamento (2015/2366), conhecida como PSD2, não permite que o banco recuse um reembolso imediato, exceto se existirem razões plausíveis para suspeitar de fraude por parte do cliente.
Segundo o comunicado do Tribunal de Justiça da UE:
O Advogado-Geral Athanasios Rantos considera que o direito da União Europeia exige que o banco, numa primeira fase, reembolse imediatamente o montante da transação não autorizada, salvo se tiver boas razões para suspeitar de fraude, devendo comunicar essa suspeita por escrito à autoridade nacional competente.
Bancos podem depois tentar recuperar o dinheiro
Ainda assim, o processo não termina com o reembolso. Os bancos continuam a poder tentar recuperar o valor junto do cliente caso consigam provar que existiu negligência grave ou intenção por parte do utilizador que tenha provocado a falha de segurança.
No parecer é referido que:
Se o banco demonstrar que o cliente não cumpriu, intencionalmente ou por negligência grave, uma das obrigações relacionadas, em particular, com os dados de segurança personalizados, poderá exigir que o cliente suporte as perdas correspondentes.
Caso o cliente recuse devolver o valor, caberá então ao banco avançar judicialmente para recuperar o montante.
Parecer ainda não é uma decisão final
Importa sublinhar que esta opinião não constitui ainda uma decisão do Tribunal de Justiça da União Europeia.
O parecer do Advogado-Geral funciona como uma recomendação jurídica aos juízes do tribunal, indicando a interpretação que poderá vir a ser seguida. A decisão final do Tribunal de Justiça da UE será, essa sim, vinculativa para todos os tribunais da União Europeia.
Loading ...
Absurdo, jamais será tido em conta, era o que mais faltava agora serem todos culpados menos o infoexcluido
O quê?
Onde estamos a chegar.
Já devem ter reparado que as coisas mudaram bastante nas autorizações de pagamento via pagina web do banco – agora está sempre a pedir autorizações e códigos na app do banco. no smartphone:
1) Para continuar o acesso, depois de pedir as credenciais, vai pedir um código dado na app do banco no smartphone.
2) Para pagar/transferir é preciso dar a autorização na app do banco no smartphone e inserir um código da mesma app.
Ou seja, deixou de ser possível ao burlão telefonar para as pessoas, geralmente de idade, fazendo-se passar por um funcionário(a) do banco e sacar-lhe as credenciais. Os tribunais começaram a considerar que isso não era suficientemente seguro e começaram a obrigar os bancos a indemnizarem os clientes, vítimas de phishing.
O phishing através de uma página web falsa onde a vítima introduz as sua credenciais também é conhecido. Agora este tribunal considerou que a segurança do banco não era suficiente e mandou-o indemnizar o cliente, vítima de phishing.
Não é dito se o banco já estava a usar o sistema que descrevi, via app do banco no smartphone. Mas se também isso não for considerado suficientemente seguro, não sei mais o que os bancos possam fazer. Só se deixarem deixarem de poder prestar serviços de pagamento/transferências via web e fazerem tudo através da app no smartphone,
Não sei que bancos usas mas desde que uso net banco que tenho de dar um código de autorização para transações para contas não validadas, e já devo usar net banco há 20 anos talvez
Nos pagamentos/transferências na página web do banco
– Eu comecei com credencias e um cartão de coordenadas
– Depois começaram com os códigos de SMS, misturando com as coordenadas, até as coordenadas acabarem
– Os códigos enviados por SMS acabaram e começaram as autorizações e os códigos pela aplicação da app no smartphone.
O que é que há 20 anos só banco do José tinha? 😉
Mas estou satisfeito por acabar a pesporrência dos bancos, escudados em que a culpa era dos infloexcluídos. Lembro-me muito bem da primeira vez que um tribunal mandou pagar a uma velhota (salvo erro de V. R. de Santo António) que foi ludibriada por alguém que se fez passar por funcionária do banco e lhe deu as credencias. Sustentou em tribunal que os pagamentos da sua conta não foram feitos/ordenados por ela e o tribunal deu-lhe razão. A partir daí os bancos aumentaram a segurança nas autorizações.
banco totta comprado pelo santander
E o que tinha o Totta comprado pelo Santander de especial, além de ser o banco do José?
em Portugal foi o primeiro a introduzir codigo sms para validar transferencias
Isso é que é memória José! Mas pensei que fosse algum processo mais sofisticado, já que eu antes tinha falado nas atuais autorizações e códigos na app do banco.
EU TENHO PROCESSOS QUE FORAM PARA JUDICIÁRIA E FORAM ARQUIVADOS PORQUE O BANCO FALAVA QUE NÃO TINHAM CULPA E NÃO EXISTIAM SEGUROS E EU FIQUEI SEM MUITO DINHEIRO..AGORA EM DEZEMBRO FUI VITIMA DE BURLA POR PAGAMENTO E TRANSFERÊNCIA E ATE AGORA NADA FIZERAM..
O post sobre o caso de V.R. de Santo António.
https://pplware.sapo.pt/internet/banco-obrigado-a-repor-saldo-de-cliente-que-foi-burlada-ao-telefone/
txi.. comentários do aves e tudo..
então vai lá ver como ficou esse caso se a senhora recebeu alguma coisa
O processo terminou com o acórdão do Tribunal de Relação de Évora que condenou o naco a pagar:
– 38.954 euros para repor o saldo que foi retirado da conta
– 5.000 euros por danos não patrimoniais
– acrescido de juros.
Não sabes ler, José? 😉
Condenou o banco …
Isso foi o processo, mas o que aconteceu?
A sentença transitou em julgado, não tem recurso. Por isso, o banco, como são se pôs em fuga, pagou. Tens alguma informação em contrário ou limitas-te a melgar? 😉
Bom vamos lá a ver uma coisa,
A vitima, é enaganada com links falsos, onde ele a pensar que está a aceder ao banco, coloca as suas credenciais.
O primeiro ataque. no qual á roubo de credenciais, é crime!!
Trata-se portanto de um carteirista!!
O segundo ataque feito a seguir, a conta bancária, é crime!!
Porque?Porque a vitima não deu autorização a terceiros para acederem á sua conta bancaria, e muito menos para lhe esvaziar a conta.
Portanto ha o crime de:
1) roubo de identidade.
2) Utilização de essa intidade para roubar a vitima
3) Ação própriamente dita do roubo.
Este caso tem uma solução relativamente rápiuda, porque ele transferiu dinheiro,, ha sempre um traço que fica.
Se o tivesse levantado num ATM era mais complicado.
Sim o banco, deve indeminizar de imediato,
E depois ha um processo em tribunal que o banco vai colocar, porquer houve um ataque, a uma conta do mesmo, com identidade falsa, e transferências para terceiros.
O cliente pode por sua vez, também ele iniciar, ou juntar-se ao processo,
porque houve roubo de identidade, utilização de identidade falsa, e o terceiro crime, o roubo dessa pessoa.
Mas a vitima vai passar a ter a vida muito complicada.
Um horror, digo isto porque fui vitima de ~2017 até 2022, e não me lembro da quantidade de vezes que cheguei a desejar a minha morte, para acabar com a tortura.
As contas do banco a serem testadas, contra password, 2 a 3 vezes pelo menos á semana.
Constantes, telefonemas, para o banco, a reclamar com eles, para fazerem alguma coisa, e as respostas sempre as mesmas.
‘Não se preocupe, isto é alguém que tem um numero de contrato’ “Parecido” com o seu… 😀
Isto funciona , mas ao fim de duas semana, já vocês percebem , que quem está do outro lado supostamente , vos enganou!!
Porque não é possivel, alguém andar a experimentar passwords na vossa conta, “porque tem um numero parecido”, durante 2 semanas, muito menos 5 anos de terror!!!!
Portanto as “senhoras”, ou “senhores” do banco, devem lhes apertar os calos, para que se perceba, quanto de comissão é que eles vão buscar, em cada, ataque!!
Sim claro, eu acho que, quem está do outro lado, esteve envolvido de forma indirecta, óbviamente, no meu caso.
Mais uma vez ligou me um e no TM dizia que era do banco, e eu quase lhe dei tudo, mas houve ali alguma coisa, que me fez com que, eu começasse a questionar,quem era, e ele em Pânico desligou.
Isto tudo para dizer, que ou se começa, a criminalizar á séria, ou então não vai ter sucesso.
Reparem, no meu caso, existem talvez milhares de chamadas, para a CGD, a me queixar.
A primeira pergunta que surge,é mas como é que o banco deixou o terror continuar??
Porque não me deu os IPs de onde o atacante atacava a minha conta??
Porque é que o banco nem quis envolver a Policia Judiciaria??
Estranho não??
O primeiro suspeito, e sempre alguém do callcenter, ou do próprio banco, e depois vem os outros, isto pelo meu caso, porque não há outra explicação possivel, se houvesse tinham envolvido a Policia de imediato, como é óbvio.
Se isso for para a frente, é os bancos começarem a exigir aos clientes um teste de conhecimentos, e quem reprovar não tem acesso ao homebanking. É que há pessoas que simplesmente são demasiado fáceis de enganar.
A vitima, é quem tem que ser protegida, e o criminoso levado á Justiça, e recambiado, para o sitio de onde ele veio fugido, pelos crimes que cometeu no passado lá.
É impossivel impedir que as vitimas não sejam atacadas.
Mas começando a colocar penas pesadas nestes esquemas de roubo em massa, ai sim, começas a resolver o problema.
A primeira linha de defesa, é quando um queixoso liga para o banco, a relatar algo incommun, o banco deve de imediato instaurar um procedimento Judicial.
O departamento informático da policia deve tentar perceber de onde fazem ataques,e levar esses individuous a Justiça.
Se o banco assobia para o lado, como é que vais prender quem ataca o banco?
Os processos são caros?
Os bancos teem departamentos legais, que são pagos, e é suposto ser usados para isto.
E assim se caminha para a estupidificação generalizada. Então que culpa tem o banco de o seu cliente ser um anormal ?
O que a maioria do pessoal não sabe é que basta usar um Cartão de crédito e já estamos protegidos. Pagamentos online só uso CC.
O problema de transferências ou pagamento com cartão de débito é que legalmente o banco não pode reverter a transferência ou pagamento.
Neste caso a lei protege sempre quem recebe o dinheiro.
Toni da Adega, sugiro que solicite ao seu banco a cópia atualizada das condições gerais e particulares do seu contrato associado à conta do cartão de crédito para uma leitura atenta.
Nos últimos 10 anos, um grande número de bancos tem vindo fazer alterações subtís nas condições gerais e particulares dos contratos (comunicadas nos textos do extratos) e a anular as apólices que cobriam a utilização fraudulenta dos cartões em compras.
É minha convicção que apenas se salvam alguns cartões «dourados» e os cartões «black».
A forma mais segura é o pagamento com autenticação forte (2FA), que nos protege e melhora a proteçãocontra a fraude.
A regra para o 2FA é a utilização de dois de três fatores à escolha (conhecimento, posse e inerência):
1. Algo que só eu sei (ex.: pin do cartão)
2. Algo que eu possuo (ex. telemóvel)
3. Algo que eu sou (ex. impressão digital ou outra forma de biometria)
estás enganado, viajo muito e só uso CC, antes de existir revolut fui clonado duas vezes nos EUA (algo relativamente comum porque nos pagamentos os cartões são levados para os empregados fazerem os pagamentos), de ambas as vezes restituíram-me os valores que eu não identifiquei como sendo feitos por mim, no questions asked.
cartão de credito tem protecção de fraude e nem é o banco que suporta o valor mas sim um seguro, para que achas que servem as fees de cartão de credito?
Então se tiveste duas vezes o cartão clonado, isso nem parece teu Zezinho, afinal ainda há esperança que sejas humano como todos nos, uma vez tens desculpa duas…
Se me ensinares como posso num restaurante, entregar o cc para pagamento e o empregado levar o cc e fazer o pagamento e aproveitar e clonar o cartão.. nunca vi ninguém com uma solução qualquer não parva. Por isso quando surgiu o Revolut passei a conseguir controlar, curiosamente nunca me clonaram o Revolut
CC é ainda a melhor opcao. Quando pagamos estamos a gastar dinheiro do Banco, não dinheiro nosso. Usar CC é das melhores protecoes que existe especialmente para pagamentos online ou para ter protecao extra. Compras online, produto não chega, extremamente simples ter devolucao de dinheiro, entre outras coisas.
E muitos bancos cobram 5-10€ de despesas de “manutenção” mensal. Grande roubalheira!
Proxima medida da UE, dar diplomas de mestrado a todos os que chumbarem para dizer que temos mais doctores que a china e os estados unidos….precisamos desses especialistas para criar inovadoras tampas de plastico para garrafas
No meu caso o banco sabendo que fui vitima de fishing e limparam-me a conta, fechou-me a conta e mandou-me dar uma curva ao bilhar. Tambem nada fez para investigar ou denunciar a uma PJ, nem assumiu nenhum erro acusando-me exclusivamente de ser vitima. Lindo nāo é? Este foi o Millenium para que se saiba. No Banco estrangeiro que o Millenium disse ser tambem culpado e inseguro fez investigacao e prenderam os criminosos mas nao reembolsaram nada, alias fecharam tambem a conta para tal. Ate a data nada recebi de lado nenhum.
nem vais receber, se foste vitima de phishing a responsabilidade é exclusivamente tua
Ha fishings de toda a ordem, eu fui enganada com supostas comunicacoes do Banco on line, e mails absolutamente iguais aos do mesmo, so com uma diferença imperceptivel no dominio de uma simples letra. Hoje nao caia mas à primeira todos podem cair.
e os milhões de avisos de todos os bancos no mundo a dizerem “nas nossas comunicações não pedimos credenciais, codigos de acesso, dados pessoais, não carregue em links suspeitos e aceda sempre directamente à pagina do banco…” são para ignorar, não é?
Eu quero acreditar que isto é o teu alter ego de internet e que na vida real és uma pessoa válida e compreensiva, caso contrário tenho pena é dos teus descendentes, (se realmente existirem), que estão a ser educados por um “psicopata”, se realmente és mesmo assim a tua companheira ou companheiro não precisa de grande esforço para ter entrada garantida no céu, basta não te dar um tiro e a entrada é garantida. 🙂
Eu sou compreensivo, os meus pais não sabem identificar phishing, não têm netbanco, nunca foram alvos.
Bastante compreensivo.
Dar netbanco a alguém que não sabe identificar phishing é como dar o carro a uma criança
Isso não faz sentido, o que dizes. Aliás, nem é de alguém deste tempo, só podes estar formatado para uma realidade muito antiga. Atualmente, a engenharia social engana-te a ti e a qualquer pessoa, basta ser na hora certa, no momento exato. E eu já vi alguns casos desses.
Ainda recentemente, a esposa de um conhecido teve um problema na app do banco, o código não dava, a app não estava a funcionar corretamente e, por azar, nesse mesmo dia mais ao fim da tarde, ela recebeu um SMS a dizer que os códigos da app teriam de ser atualizados. Ela, na azáfama da vida, achou que estava interligado com o problema que tinha tido de manhã e seguiu o link. Abriu um site tal e qual e mesmo no URL era tal e qual, apenas a análise mais profunda deixou perceber que um dos caracteres era cirílico. Mas, nem tu nem os mais atentos dariam conta.
Ela seguiu os passos, recebeu o token, inseriu o token e nada aconteceu. Ela achou estranho, ainda tentou perceber, gastou ali uns minutos e tal… e em pouco tempo ficou sem 2500 euros.
Tu caías na mesma forma dentro do cenário em que o phishing aconteceu.
Claro que sim, Teresa. Os bancos têm é de criar mecanismos para proteger o utilizador. Hoje qualquer pessoa cai. Sem dúvida.
Atenção o título e o texto do artigo induzem em erro que não estiver parcularmente atento.
O banco continua a poder recusar o reembolso do montante quando disponha de meios de prova irrefutáveis da legalidade da operação (autenticação forte através de 2FA ou negligência grosseira do cliente).
Este caso do banco polaco apenas se refere ao incumprimento, pelo banco, do prazo de 24h para crédito do cliente pela verba reclamada.
Apesar do reembolso, o cliente continua a ser responsável pelo pagamento do montante se for verificado que a fraude ocorreu por sua negligência ou fator não imputável ao banco (bancos implementaram o 2FA para se protegerem desta situação). É de ressalvar que nesse caso o banco tem direito, e costuma aplicá-lo, à cobrança de comissão de avaliação e tratamento da operação.
O que vai acontecer com este pobre coitado é que vai agora receber o dinheiro e daqui a umas semanas tem que devolver o mesmo valor acrescido da comissão que vai ser aplicada pelo banco para avaliação da fraude.
O artigo explica corretamente. O título é a introdução ao tema, por isso está bem explicado que “esta opinião não constitui ainda uma decisão do Tribunal de Justiça da União Europeia.” Mas poderá tornar-se “vinculativa para todos os tribunais da União Europeia.”. Têm de ler, para se perceber.
Acho muito bem, os esquemas são cada vez mais profissionais infectando a rede de casa nem o smartphone fica safo, recebe e envia SMS em background, etc…
Os bancos têm que acabar com SMS pois é inseguro a, melhorar deteção de padrões, e bloquear transferência e até telefonar para o cliente e mais uma série de medidas que podem ser feitas.
Por isso sim sou a favor, pois eles têm lucros de , milhões, biliões e estão se a cagar para estas coisas…
“…caso consigam provar que existiu negligência grave …”
Estamos perante um caso de negligência grave.
Queres ver q o banco ainda vai ter q pagar os 300mil € q o pepe emprestou ao amigo q não lhe pagou?
o ideal era o cliente ao abrir uma conta com homebanking, ter direito a uma chave fisica, paga, obviamente, e sem essa chave ficica colocada no PC, simplesmente não se conseguir ter acesso à conta/serviço bancario
Isso não é solução, chega ao cúmulo das pessoas darem chaves matrizes completas estar 3 minutos a meter a chave, imagina uma chave física que é só meter no PC tornava ainda tudo mais fácil para os burloes.
Podiam desenvolver um authenticator como a da Microsoft, ou outro similar, eu para entrar nos meus equipamentos profissionais temos de utilizar dois.
Há um cartão matriz, fisico, mas as aplicações de home banking já não pedem.
Até acho estranho.
Eu só tive quando era cliente do BPI, eles é que tinham cartão de coordenadas
Todos os grandes bancos online tinham cartão de coordenadas/cartão matriz.
No dia 30/02 por volta das 10,30 da noite abri por acaso a app do Millenium BCP e qual não foi o meu espanto foi-me tirado da minha conta 13.222.€ .Quatro movimentos feitos em Lisboa de dois em dois minutos.1.000€,5.000,7.000 e por fim 222€.Fiquei com 0.27€.Logo de manhã dirigi-me ao banco em S.J.Madeira,anularam o cartão ,preencheram um formulário eu assinei e passados uns dias disseram-me que não tinha hipótese de reaver o dinheiro.Por conselho de um amigo no mesmo dia fui fazer queixa à PSP que está a tentar, com a Policia Judiciária, resolver.Somos dois reformados de 72 e 76 anos,ambos doentos oncológicos e este assunto abalou-nos imenso.Para além de esperar resposta não sabemos o que fazer.Será que o Banco é mesmo obrigado a devolver o dinheiro,uma vez que nada foi feito por nós com negligência??? Alguém nesta página que saiba algo que possamos fazer além do que fizemos????
/
No dia 30/02 por volta das 10,30 da noite abri por acaso a app do Millenium BCP e qual não foi o meu espanto foi-me tirado da minha conta 13.222.€ .Quatro movimentos feitos em Lisboa de dois em dois minutos.1.000€,5.000,7.000 e por fim 222€.Fiquei com 0.27€.Logo de manhã dirigi-me ao banco em S.J.Madeira,anularam o cartão ,preencheram um formulário eu assinei e passados uns dias disseram-me que não tinha hipótese de reaver o dinheiro.Por conselho de um amigo no mesmo dia fui fazer queixa à PSP que está a tentar, com a Policia Judiciária, resolver.Somos dois reformados de 72 e 76 anos,ambos doentos oncológicos e este assunto abalou-nos imenso.Para além de esperar resposta não sabemos o que fazer.Será que o Banco é mesmo obrigado a devolver o dinheiro,uma vez que nada foi feito por nós com negligência??? Alguém nesta página que saiba algo que possamos fazer além do que fizemos????
/
A mim conseguiram entrar na minha conta BPI eu não dei códigos nem pin estou a espera já fui a GNR Ee agora está tudo na PJ já la vai 5 meses, nós pagamos para ter o dinheiro seguro.