A fraude "man-in-the-middle" e os limites da responsabilidade dos bancos

Artículos28 de julho de 2025
As transferências instantâneas trarão novos requisitos de segurança para as instituições financeiras, face ao aumento de fraudes sofisticadas como o Man-in-the-Middle.

Num ambiente cada vez mais digitalizado, as fraudes bancárias evoluíram significativamente em termos de complexidade e sofisticação. Uma das fraudes que tem ganho destaque nos últimos anos é o chamado ataque "Man-in-the-Middle".

Este tipo de fraude envolve a interceção não autorizada de comunicações entre dois dispositivos ligados a uma rede, permitindo ao atacante alterar e desviar mensagens trocadas entre utilizadores.

Um dos cenários mais frequentes envolve a interceção de uma comunicação a solicitar um pagamento, em que o fraudador modifica o IBAN da conta bancária para a qual a transferência deve ser efectuada, a fim de obter o dinheiro. O processo desenrola-se geralmente da seguinte forma:

  • Uma empresa recebe uma mensagem de correio eletrónico de um fornecedor, solicitando o pagamento de uma fatura relativa à prestação de serviços.
  • Sem o conhecimento da empresa, um atacante intercepta e manipula o e-mail, alterando o número IBAN da conta para a qual o pagamento deve ser efectuado.
  • O cibercriminoso faz-se passar pelo fornecedor, enviando a mensagem a partir de um endereço de correio eletrónico quase idêntico ao original, mas com uma ligeira alteração quase impercetível.
  • A empresa recetora, confiando na autenticidade da mensagem, efectua a transferência para a conta fraudulenta.

Desta forma, é efectuada uma alteração informática com o objetivo de realizar uma transferência financeira em detrimento do ordenante da transferência, tal como previsto no artigo 249.º, n.º 1, alínea a) do Código Penal.

Quando o ordenante se apercebe do erro, a sua primeira reação é tentar contactar o banco destinatário, na esperança de que os fundos possam ser bloqueados a tempo. No entanto, na maioria dos casos, o cibercriminoso foi mais rápido: o dinheiro já foi transferido para outra conta ou levantado, deixando pouca margem de manobra, pelo que a única alternativa é apresentar uma queixa.

No entanto, identificar o autor do crime não é uma tarefa simples. Os cibercriminosos utilizam mecanismos complexos para ocultar a sua identidade e dificultar a localização do dinheiro, tornando cada vez mais remota a possibilidade de recuperar o dinheiro diretamente do autor do crime.

Perante esta situação, muitas pessoas afectadas procuram outro caminho: reclamar a responsabilidade civil subsidiária do banco que executou a transferência. Mas será que o banco pode ser responsabilizado pelo processamento da transação?

A resposta a esta questão encontra-se no artigo 59.º da Lei dos Serviços de Pagamento, que regula a responsabilidade dos bancos em situações em que tenham sido utilizados identificadores incorrectos. De acordo com este regulamento, quando uma ordem de pagamento é executada de acordo com o identificador único (IBAN), considera-se que foi validamente processada relativamente ao beneficiário associado a esse identificador. Além disso, o terceiro parágrafo deste artigo estabelece que, se o ordenante fornecer informações adicionais ao IBAN, como o nome do beneficiário, o banco não é obrigado a verificar a sua correspondência.

Este critério tem sido subscrito por diferentes Tribunais no âmbito civil, como se refere, por exemplo, na Sentença do Tribunal Provincial de Saragoça n.º. 87/2019, de 25 de março de 2019, que confirma que a responsabilidade do banco se limita a executar a ordem de acordo com o identificador único, sem ter de considerar outros dados adicionais.

No mesmo sentido, o Relatório de Reclamações de 2018 do Departamento de Conduta de Mercado e Reclamações do Banco de Espanha reforça esta interpretação, recordando que as transferências são processadas automaticamente de acordo com o IBAN indicado, sem que os bancos procedam a verificações adicionais. Por outras palavras, qualquer outra informação incluída na ordem de pagamento, como o conceito de transferência, é meramente informativa para o beneficiário e não representa uma instrução vinculativa para a instituição.

Por conseguinte, as regras parecem claras: se houver um erro no identificador único (IBAN) aquando da ordem de transferência, o banco destinatário não deve ser responsabilizado. A sua única obrigação deve ser a de creditar os fundos na conta indicada, sem efetuar verificações adicionais sobre a titularidade da conta do destinatário.

No entanto, o cenário torna-se mais complicado para os bancos com a entrada em vigor do Regulamento (UE) 2024/886 do Parlamento Europeu e do Conselho, de 13 de março de 2024, relativo às transferências imediatas em euros. No caso específico das transferências imediatas, os bancos serão obrigados a implementar um sistema de verificação do beneficiário antes de executarem a transação. Este novo requisito estabelece um padrão de diligência mais elevado para as instituições financeiras e implicará uma mudança significativa na forma como as responsabilidades são distribuídas em casos de fraude ou erro.

Este novo quadro regulamentar responde à necessidade de reforçar a segurança num contexto em que os pagamentos instantâneos se tornaram cada vez mais comuns, com o objetivo de proporcionar uma maior proteção dos utilizadores contra erros e fraudes não intencionais. Assim, a partir de 9 de outubro de 2025, os prestadores de serviços de pagamento serão legalmente obrigados a verificar se o nome do beneficiário corresponde ao IBAN fornecido e a alertar o ordenante em caso de discrepância.

Não obstante o acima exposto, tendo em conta que as novas disposições ainda estão em período de implementação e só serão obrigatórias para os bancos em outubro de 2025, é essencial que, durante este período de transição, tanto os bancos como os utilizadores tomem as maiores precauções. Por um lado, as instituições financeiras devem continuar a melhorar os seus sistemas de deteção de transacções suspeitas e reforçar os mecanismos de segurança para evitar fraudes. Por outro lado, os utilizadores devem ter especial cuidado ao efetuar transferências, verificando a autenticidade dos destinatários e prestando atenção a sinais de alerta que possam indicar uma possível fraude, como pedidos urgentes de pagamento, alterações inesperadas nos dados da conta bancária ou e-mails que tentem fazer-se passar por identidades.

Artigo escrito por Marta Coro, advogada de Direito Penal Económico e Compliance na ECIJA Madrid.

Un paisaje desértico en blanco y negro con dunas de arena suavemente modeladas.

ATUALIDADE #ECIJA