Três dos quatro maiores bancos privados brasileiros falham diante da presença de programas de acesso remoto usados no golpe da mão fantasma, aponta o Idec em relatório divulgado nesta segunda-feira (2).
Nesse golpe, criminosos se passam por técnicos ou profissionais de atendimento para convencer a vítima a instalar um software usado para limpar a conta bancária. Assim, espionam a pessoa para roubar usuário e senhas e depois transferem o dinheiro.
Na primeira etapa, ainda em 2022, o Idec afirma que questionou os procedimentos adotados pelos maiores bancos privados do país após identificar queixas de clientes: Nubank, Bradesco, Itaú e Santander.
O Itaú afirmou, à época, que bloqueava operações de celulares em que estão instalados aplicativos de acesso remoto, protocolo que passou a ser considerado pelo Idec como o padrão de referência para aumentar a segurança. "Se um banco barrasse o acesso remoto, para o Idec era um sinal de que todos os outros também deveriam dispor dessa tecnologia", diz o relatório Golpe do celular invadido: segurança é nosso direito.
Na segunda etapa, a entidade de defesa testou vulnerabilidades do aplicativo de cada instituição financeira. Voluntários simularam a invasão de seus celulares, por meio de um programa de acesso remoto. O objetivo era testar se o aplicativo do banco continuava funcionando enquanto havia esse programa espião.
Segundo o Idec, o teste confirmou que apenas o Itaú fazia o bloqueio desse programa de acesso remoto, o que impediria o golpe.
Na opinião da economista do Idec, Ione Marcondes, o teste aponta fragilidades dos bancos e que eles têm a opção de bloquear o golpe da mão fantasma, mas optam por não reduzir a comodidade no uso do aplicativo. "O risco recai sobre o cliente", afirma.
O QUE DIZEM OS BANCOS
Procurados pela reportagem, os bancos afirmaram que usam outras formas de defesa, como inteligência artificial, para identificar movimentações financeiras suspeitas e bloqueá-las.
O Nubank afirma que, assim como consta no relatório do instituto, os mecanismos de defesa já implementados pela empresa dificultaram a realização da transação indevida. Segundo o banco, esses mecanismos já eram capazes de impedir a realização da operação, uma vez que a situação em que o teste ocorreu difere, em uma série de fatores, de uma situação real de tentativa de golpe.
"Os clientes do Nubank que estão com seus aplicativos atualizados já contam com camadas adicionais de proteção, incluindo mecanismos que efetivamente bloqueiam o uso do aplicativo do Nubank por acesso remoto", diz o banco digital.
O Bradesco afirma que implanta com frequência dispositivos de segurança visando combater as mais diversas tentativas de fraudes/golpes, para mitigar o risco das transações realizadas em todos os canais de atendimento.
Clientes podem enviar mensagens suspeitas ao canal de denúncias: evidencia@bradesco.com.br. "Essas mensagens são avaliadas, sites falsos são derrubados diariamente e as empresas de telefonia são contatadas para desabilitar números de telefones utilizado para fraude."
O Santander afirma que tem mecanismos de proteção eficazes para segurança da operacionalização do seu aplicativo pelos clientes. "A instituição ressalta sua confiança na integridade e eficiência de seus mecanismos e sistemas de proteção, bem como na segurança operacional de seus canais, produtos e serviços, proporcionando proteção e segurança aos clientes."
O Itaú confirma que proíbe o cliente de acessar o app do banco enquanto o programa de acesso remoto estiver ativo. "O cliente até pode, por exemplo, utilizar algum software de acesso remoto para fazer o que precisa ser feito em outros aplicativos ou recursos, mas não no banco."
O QUE FAZER SE CAIU NO GOLPE DA MÃO FANTASMA
Para tentar reaver o dinheiro perdido no golpe da mão fantasma, a pessoa deve:
Registrar boletim de ocorrência na delegacia virtual
Contestar as transações junto ao banco
Caso não tenha sucesso na suspensão das movimentações, o cliente pode procurar a Justiça
"O banco que causar dano devido à falha de segurança comprovada deverá repará-lo, mesmo em casos fortuitos de fraudes ou de atos praticados por outras pessoas por meio de operações bancárias, conforme entendimento pacificado pelo STJ [Superior Tribunal de Justiça]", diz o relatório do Idec. Pelo Código de Defesa do Consumidor, quem deve provar a responsabilidade pela falha é o fornecedor do serviço sob contestação.
Segundo a empresa de segurança para plataformas digitais, AllowMe, os fraudadores mais habilidosos conseguem burlar o bloqueio a programas de software remoto a partir de vulnerabilidades. "É imprescindível manter o celular e os aplicativos atualizados", recomenda o chefe-executivo da AllowMe, Gustavo Monteiro.
Instituições financeiras não procuram clientes para solicitar informações pessoais, que podem permitir operações bancárias.