O que é o phishing e como ocorre?
Este fenómeno consiste no envio de mensagens fraudulentas a partir de uma suposta fonte credível com o intuito de recolha de informações pessoais.
O contacto com o utilizador era realizado, numa primeira fase, através de mensagem de correio eletrónico e SMS no telemóvel, tendo mais recentemente sido detetado o uso frequente de plataformas como o Whatsapp para o efeito.
Já na posse dos dados pessoais da vítima, nomeadamente dados relativos ao cartão de crédito, o agente vende os dados ou realiza operações indevidas.
Legislação Aplicável
A Diretiva (UE) 2019/713, relativa ao combate à fraude e à contrafação de meios de pagamento que não em numerário foi transposta para a ordem jurídica portuguesa pela Lei n.º 79/21, de 24 de novembro.
Uma das alterações introduzidas pelo referido diploma foi o alargamento do âmbito do artigo 225.º do Código Penal, mudando o tipo criminal para “abuso de cartão de garantia ou de cartão, dispositivo ou dados de pagamento”. O Phishing passou, deste modo, a encontrar enquadramento legal neste artigo.
A pena para esta tipologia criminal é definida no artigo 225.º, n.º 5 do Código Penal. Caso o prejuízo para a vítima seja de valor elevado o agente é punido com pena de prisão até 5 anos ou com multa até 600 dias. Caso o valor seja consideravelmente elevado, o agente poderá incorrer numa pena de 2 a 8 anos.
O que posso fazer para evitar ou reagir?
Caso detete movimentos suspeitos e sem motivação aparente na sua conta bancária, pode ter sido vítima de phishing e para além da possibilidade de denúncia às autoridades, existem vias para tentar recuperar o dinheiro perdido.
Os pagamentos eletrónicos encontram-se regulamentados pelo Regime de Serviços de Pagamento e da Moeda Eletrónica, constante do Decreto-Lei n.º 91/2018.
Da condição de utilizadores dos serviços de pagamento decorre alguns deveres impostos pelo artigo 110.º do supracitado regime, como a utilização do instrumento de pagamento de acordo com as regras que regem a sua emissão e utilização, o que implicará a preservação de todas as credenciais de segurança personalizadas (nome de utilizador da conta homebanking, palavra-passe da mesma, código do cartão), ou seja, a não divulgação desses dados a terceiros não utilizadores.
A esta regra acresce a obrigação de comunicação ao prestador de serviço de pagamentos, com a maior brevidade possível e sem atrasos injustificados, a utilização não autorizada do instrumento de pagamento, perda, furto ou roubo do mesmo, nunca num prazo superior a 13 meses após a ocorrência do débito, em obediência ao artigo 112.º, n.º 1 do já referido diploma.
Tendo cumprido todas as obrigações relativas à segurança e à comunicação, o utilizador poderá, ainda assim, não obter uma retificação da operação de pagamento não autorizada, caso o custo seja no valor máximo de €50 e verificando-se negligência grosseira por parte do utilizador, um custo de valor superior.
Não deixa, no entanto, de caber às entidades prestadoras de serviços de pagamento o ónus de provar a autenticação da operação, sem qualquer avaria técnica ou deficiência no serviço prestado, assim como o dever de exigir autenticação forte do ordenante, sem a qual este não deve suportar quaisquer perdas, de acordo com o artigo 113.º, n.º 1 e 115.º, n.º5 respetivamente.
Com o surgimento de esquemas fraudulentos de maior complexidade e eficácia, são necessárias, em primeiro lugar, medidas de prevenção e segurança por parte dos utilizadores e das entidades bancárias para travar o aumento de ocorrências como o phishing.
O conteúdo desta informação não constitui aconselhamento jurídico e não deve ser invocado nesse sentido. Aconselhamento específico deve ser procurado sobre as circunstâncias concretas do caso. Se tiver alguma dúvida sobre uma questão de direito Português, não hesite em contactar-nos.