Consumidores desprotegidos
Idec testa aplicativos de quatro bancos e constata que segurança frágil facilita golpe do acesso remoto
Muito provavelmente você já ouviu falar (ou já foi vítima ou conhece alguém que foi) do golpe do acesso remoto, também conhecido como golpe da mão fantasma ou golpe do celular invadido. Nessa modalidade, o fraudador entra em contato com a vítima se passando por um funcionário do banco. Para enganá-la, ele utiliza a chamada engenharia social, que é uma técnica de manipulação psicológica que explora o erro humano para obter informações privadas ou objetos de valor. Ou seja, o criminoso diz para a pessoa que a conta dela foi invadida ou clonada, que foram detectadas movimentações suspeitas etc. e avisa que vai enviar um link para instalação de um aplicativo que vai resolver o problema. Após a instalação do app, o fraudador passa a visualizar a tela do celular ou computador da vítima e a ter acesso a TODOS os dados que estão ali. Então, ele pede que o consumidor acesse seu aplicativo bancário. É aí que ele rouba a senha de acesso. Parece um pesadelo, não? E é.
Em abril, o Nubank recebeu uma enxurrada de reclamações de clientes que haviam caído nesse golpe, inclusive o assunto chegou a ficar entre os trending topics do Twitter. Diante desse contexto, o Idec decidiu notificar a instituição financeira questionando quais providências estava tomando para proteger e ressarcir os consumidores lesados. O banco respondeu que "esse tipo de golpe envolve engenharia social e, portanto, estaria além de seu poder de segurança". Para Cristina Godoy Bernardo de Oliveira, professora de Direito na Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo (FDRP-USP), a resposta do Nubank é parcialmente aceitável. "Realmente esse golpe envolve engenharia social, pois o criminoso precisa usar várias técnicas, incluindo as de cunho psicológico, para convencer a pessoa a instalar um aplicativo. Mas que 'está além de seu poder de segurança' eu discordo, pois é possível, sim, aumentar a proteção e evitar esse tipo de fraude", ela afirma.
Após o recebimento da resposta do Nubank, o Idec realizou um levantamento online e encontrou posicionamentos institucionais sobre o golpe da mão fantasma nos sites do Bradesco, Itaú e Santander. Assim, esses bancos também foram notificados, a fim de descobrir quais eram as medidas adotadas por eles para prevenir os consumidores desse golpe. Além disso, o Instituto perguntou às quatro instituições financeiras se elas possuíam um mecanismo de segurança eficaz para impedir o golpe do acesso remoto.
Os bancos responderam basicamente que investem em segurança e na conscientização dos clientes. Apenas o Itaú afirmou possuir um mecanismo de segurança específico para bloquear transações feitas via apps de acesso remoto. Para comprovar se o que os bancos disseram era aplicado na prática, o Idec decidiu testar a segurança dos aplicativos do Nubank, Bradesco, Itaú e Santander, a fim de verificar se seria possível realizar uma transação utilizando um software de acesso remoto (ele permite que um dispositivo, como um computador ou smartphone, seja acessado e operado remotamente por outra pessoa, que também está conectada à Internet).
Veja, a seguir, o que descobrimos.
DESEMPENHO RUIM
Ao testar os aplicativos do Nubank, Bradesco, Itaú e Santander, a equipe do Idec conseguiu efetuar transações em três deles (Nubank, Bradesco e Santander). O Itaú foi o único que bloqueou totalmente o acesso remoto. Além disso, o pesquisador recebeu uma mensagem dizendo que haviam sido identificadas movimentações suspeitas em sua conta. Isso confirma a resposta enviada pelo banco ao Instituto, na qual declarava possuir um mecanismo de bloqueio a acessos remotos. "O Nubank e o Santander possuem algumas camadas de bloqueio, como a exibição de uma tela preta, que dificultam, mas não impedem o acesso remoto. No caso do Bradesco, o acesso foi possível, sem qualquer barreira. Porém, segundo o banco, as operações são rastreadas posteriormente para saber se houve alguma fraude ou tentativa", diz Ione Amorim, economista do Idec e responsável pelo teste.
O fato de o Itaú possuir um mecanismo de proteção contra o acesso remoto gerou o seguinte questionamento: "Se já existem medidas de segurança no mercado capazes de impedir o golpe ́da mão fantasma, por que os outros bancos não o utilizam?". Segundo Oliveira, muito provavelmente o que o Itaú oferece é uma segunda camada de proteção às seções bancárias online usando um bloqueador de acesso remoto. Ela explica que, quando esse tipo de acesso é detectado, esse bloqueador o interrompe imediatamente. "Essa proteção não gera novo custo, é apenas uma camada a mais que é colocada no dispositivo ou na nuvem. Então, se outros bancos não oferecem não é por ordem econômica", pontua Oliveira, completando:" Alguns bancos podem não utilizá-lo por conta do perfil dos usuários, pois o acesso remoto é útil para contas corporativas, por exemplo. Provavelmente, o Itaú deve ter percebido que poucos clientes 'pessoa física' usavam o acesso remoto e, portanto, valeria a pena ter esse bloqueio". Ela lembra, ainda, que na pandemia muita gente usou o acesso remoto para ajudar familiares idosos, que por conta do isolamento social não podiam ir ao banco. "Muitos filhos acessavam remotamente a conta dos pais e faziam as transações bancárias para eles", exemplifica.
Os testes foram importantes para saber como cada um dos quatro bancos age em relação ao acesso remoto e as medidas de segurança tomadas por eles. "Para o Idec, é essencial que os bancos bloqueiem todo e qualquer tipo de software de acesso remoto. Só assim eles vão evitar completamente o golpe. E o fato dessa tecnologia de segurança existir faz com que as instituições financeiras sejam responsáveis caso algum consumidor seja vítima, já que é uma escolha deles ter ou não a tecnologia de bloqueio", expõe Amorim.
A segurança dos consumidores que utilizam serviços bancários digitais não deveria ser uma opção, e sim uma regra. Mas como o Idec constatou em seu teste, essa não é a realidade. Por isso, defende a criação de uma regulamentação que discipline a questão do acesso remoto em serviços oferecidos por instituições financeiras. Oliveira concorda: "Seria importante se houvesse, por exemplo, uma Resolução do Banco Central exigindo o uso de bloqueadores de acesso remoto. Não deveria ser uma opção do banco. Assim, o cliente que quisesse acessar sua conta remotamente teria de pedir autorização". Além disso, a professora da USP recomenda a educação digital, ou seja, a conscientização dos clientes, explicando esses golpes; o treinamento da equipe; entre outras medidas".
A RESPONSABILIDADE É DO BANCO
Os bancos são responsáveis por prejuízos sofridos pelo consumidor por conta de golpes bancários. As vítimas são protegidas pelo artigo 14 do Código de Defesa do Consumidor, que prevê que "o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos". Para o Idec, é evidente a responsabilidade dos bancos na prevenção de fraudes e golpes envolvendo seus serviços e na garantia de que o consumidor tenha a adequada proteção contra mecanismos de engenharia social que se aproveitam de fragilidades do sistema de segurança digital. "É importante ressaltar a hipervulnerabilidade do consumidor idoso, que se mostra uma das principais vítimas de fraudes bancárias no ambiente digital", ressalta a economista do Idec.
Além do CDC, a Súmula 479 do Superior Tribunal de Justiça (STJ) também considera as instituições financeiras responsáveis por danos decorrentes de fortuito interno, sendo a ausência de medida de segurança contra o acesso remoto um exemplo. "Dessa forma, os bancos devem ressarcir as vítimas do golpe do celular invadido", destaca Amorim.
O QUE OS BANCOS DISSERAM
Após o teste, o Idec enviou uma notificação aos bancos. Todos responderam, e Bradesco, Itaú e Nubank pediram reunião com o Idec. "Após os testes, o envio das notificações e os encontros com os bancos, ficou evidente que os avanços e as promessas de melhoria na segurança dos aplicativos, principalmente do Nubank, têm ligação direta com o trabalho que realizamos nos últimos meses", comemora Ione Amorim. Veja, a seguir, os destaques das conversas:
- Nubank: primeiramente, alegou que com os obstáculos observados pelo Idec no teste, a probabilidade de o golpe do celular invadido ocorrer é mínima. Porém, depois informou que está implementando novas medidas de segurança que bloqueiam efetivamente o acesso remoto.
- Santander: respondeu que as barreiras encontradas no teste mostram o investimento do banco na área de segurança. Contudo, para o Idec, ainda é preciso criar um mecanismo que impeça o golpe do acesso remoto, o que não foi apresentado pelo banco.
- Bradesco: disse que, apesar de não haver bloqueio ao acesso remoto em seu aplicativo, o banco faz uma análise de comportamento em cada transação realizada pelos consumidores e, quando este é estranho ou feito por robô, um funcionário entra em contato com o cliente ou bloqueia a transação. Para o Idec, isso não é suficiente. É essencial que os apps bloqueiem totalmente o acesso remoto.
- Itaú: o Itaú é o único banco que já usava um dispositivo de bloqueio ao acesso remoto. Na reunião, explicou sua política de segurança.