Tornou-se premente a criação de mecanismos que salvaguardassem o melhor possível os utilizadores dos serviços de pagamento cada vez que pretendessem fazer uma transacção, sobretudo, via online.
O phishing, o pharming e, em geral, qualquer outro fenómeno de apropriação abusiva dos dados de um instrumento de pagamento, têm vindo a tornar-se cada vez mais comuns, atormentando a vida dos consumidores que, fruto do incessante desenvolvimento das novas tecnologias e da era digital vêem facilitadas as suas transacções económicas.
Deste modo, tornou-se premente a criação de mecanismos que salvaguardassem o melhor possível os utilizadores dos serviços de pagamento cada vez que pretendessem fazer uma transacção, sobretudo, via online.
Como reflexo dessas mesmas preocupações, e no seguimento da Directiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de Novembro de 2015, o Decreto-Lei n.º 91/2018 veio transpor para a ordem jurídica interna o Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica (RJSPME).
No que aos consumidores diz respeito, este novo RJSPME procura, numa primeira linha, aumentar os requisitos de segurança por forma a evitar a “pesca” dos dados de um determinado instrumento de pagamento, bem como, a posteriori, (des)responsabilizar o utilizador alvo de uma operação de pagamento não autorizada de determinadas perdas.
Assim sendo, destaca-se, em primeiro lugar, a ampliação dos requisitos de segurança a respeitar na autenticação e execução de operações de pagamento electrónicas, e, em segundo lugar, a imposição, aos prestadores de serviços de pagamento, de maiores responsabilidades na execução de operações de pagamento não autorizadas.
Por conseguinte, para aumentar a segurança e confidencialidade dos dados dos instrumentos de pagamento, passa a ter de ser exigida uma autenticação forte para validar o próprio utilizador e, sucessivamente, a operação que pretende realizar, devendo para o efeito ser solicitados, no mínimo, dois elementos de três categorias:
• Algo que apenas o utilizador conhece, por exemplo, uma palavra-passe estática;
• Algo que apenas o utilizador possui, por exemplo, um dispositivo de autenticação (token) ou telemóvel;
• Alguma característica inerente ao utilizador, por exemplo, um dado biométrico.
Não sendo essa autenticação forte exigida por parte do Banco, assume o mesmo a total responsabilidade caso a operação seja indevidamente executada, sem embargo de eventual actuação fraudulenta do utilizador.
E se, ainda assim, os dados do instrumento de pagamento forem indevidamente apropriados por outrem?
Nessa eventualidade, alerta-se para o dever de comunicação imediata e sem atrasos injustificados da operação de pagamento não autorizada ao prestador de serviços de pagamento logo que dela tenha conhecimento e dentro de um prazo máximo nunca superior a 13 meses a contar da data do débito.
Por seu turno, caberá ao Banco o ónus da prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada.
Não logrando efectuar essa prova, o utilizador pode ser, ainda assim, obrigado a suportar as perdas relativas às operações de pagamento não autorizadas resultantes de perda, roubo, ou apropriação abusiva de um instrumento de pagamento, dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de 50 Euros.
Porém, não suportará essas mesmas perdas, se a operação de pagamento não autorizada não pudesse ser detectada pelo ordenante antes da realização de um pagamento, o que acontece frequentemente no caso dos pagamentos efectuados online.
Na pior das hipóteses, o utilizador suportará todas as perdas resultantes de operações de pagamento não autorizadas, mas apenas se aquelas derivarem de actuação fraudulenta ou negligência grosseira, ou ainda de incumprimento deliberado de algumas das obrigações que lhe incumbe de guarda do instrumento de pagamento, ou dos seus dados, e de comunicação imediata da operação não autorizada.
Em suma, e atentando sobretudo na realização de operações de pagamento online, existe um oceano infinito de combinações de dados de instrumentos de pagamento, sendo, porém, frequente o perigo da sua pesca. Daí a importância do aumento da proteção e segurança dos consumidores na utilização desses serviços de pagamento electrónicos tanto a montante como a jusante da sua execução.