Procon-SP notifica bancos, fintechs e três associações bancárias

Dentre os bancos notificados pelo Procon-SP, estão Nubank, Bradesco, Banco Inter e Itaú; quadrilhas estão acessando contas bancárias

Pedro Knoth
Por
• Atualizado há 2 anos e 10 meses
Cédulas de real (Imagem: Marcos Santos / USP Imagens)
Cédulas de real (Imagem: Marcos Santos / USP Imagens)

Após notificar Apple, Motorola e Samsung, o Procon-SP mandou uma nova advertência a 10 instituições financeiras e três associações do setor na tarde desta sexta-feira (18). O motivo é o mesmo: saber como funcionam os dispositivos de segurança usados para proteger aplicativos de contas bancárias.

Procon exige explicação de bancos sobre auxílio a vítimas

O Procon-SP notificou 10 empresas bancárias: BMG, Bradesco, Caixa Econômica Federal, Itaú Unibanco, Banco Inter, Nubank, C6 Bank, Santander, Banco do Brasil, Banco Pan e Neon. Além disso, o órgão autuou mais três associações ligadas ao setor: a Associação Brasileira de Bancos (ABBC), a Associação Brasileira de Fintechs e a Federação Brasileira de Bancos – Febraban.

Quadrilhas têm roubado celulares e acessado aplicativos de banco para sacar e transferir o dinheiro da conta da vítima, segundo o órgão; ele exige a entrega de informações sobre a proteção dos dados de clientes e se há exclusão remota destes no caso de roubo.

As exigências incluem um laudo dos testes de eficiência dos mecanismos de segurança das contas bancárias e demais serviços financeiros, assinado por técnicos das empresas. Além disso, deve ser fornecido o número de etapas aplicado a senhas, códigos de segurança, reconhecimento de voz e facial, dentro outros dispositivos de acesso.

Em relação à segurança dos apps, o Procon-SP requer ainda que os bancos expliquem diferenças dos dispositivos de segurança em relação ao sistema operacional: distinção no “pacote de serviços” para Android de iOS.

As companhias também devem explicar ao órgão de fiscalização sobre o auxílio a vítimas de roubo ou furto; quais as providências tomadas quando o cliente comunica possíveis falhas de segurança ou suspeita de fraude em seu nome. O Procon-SP também quer saber como essas empresas tratam e armazenam dados usados para desbloquear o uso dos serviços.

O que dizem as empresas notificadas?

Em nota ao Tecnoblog, o banco Santander Brasil diz que seu aplicativo é seguro e possui mecanismos de proteção efetivos contra invasões. Segundo a instituição, toda transação feita pelo app requer uma senha de uso pessoal e intransferível, não sendo possível realizar qualquer passo sem validação. Ela acrescenta que não há registro de violações da plataforma. O Santander acrescenta:

“O banco orienta seus clientes a proteger as senhas para que não ocorra o uso indevido e gere prejuízos financeiros. As senhas do aplicativo não devem ser cadastradas de forma sequencial, nem repetidas em outros cadastros. E jamais deve ser salva em blocos de notas do próprio aparelho, compartilhadas por whatsapp e e-mail, por exemplo. Essas práticas fragilizam a segurança. Vale destacar que no único caso que envolveu o Santander, a transferência de valores via aplicativo ocorreu para o mesmo nome e CPF do cliente titular da conta em outra instituição financeira. Mesmo na hipótese da transação não ter sido feita pelo cliente, não houve prejuízo, porque foi o próprio cliente o receptor e beneficiário dos valores transferidos.”

O Banco do Brasil também respondeu ao contato da reportagem:

“O Banco do Brasil vai prestar todas as informações ao Procon São Paulo sobre os detalhes técnicos do funcionamento dos dispositivos de segurança que utiliza para proteger aplicativos de contas bancárias. O BB reitera que investe permanentemente na segurança dos seus canais digitais e esclarece que os aplicativos contam com o máximo de segurança em todas as etapas de desenvolvimento e utilização. O Banco não tem registros de violação aos seus sistemas.”

Veja o que diz o Banco Inter:

“O Inter informa que tem investido continuamente em segurança, pessoas e tecnologia para garantir a melhor experiência possível para seus mais de 11 milhões de clientes. Todos os esclarecimentos serão enviados dentro do prazo solicitado pelo Procon-SP.”

Ao Tecnoblog, o C6 Bank diz que segue padrões internacionais para proteger seus clientes e que não há registros de falha de segurança em seu aplicativo. Para fazer transações, os usuários precisam digitar senha ou validar a biometria. E mais:

“O banco orienta que os clientes evitem senhas fracas, que não anotem senhas em blocos de notas e que escolham combinações diferentes para cada site ou serviço. Em caso de furto do celular, o cliente deve ligar imediatamente para os números das centrais de atendimento.”

Eis o posicionamento do Banco BMG:

“O Banco BMG informa que investe, continuamente, em segurança e tecnologia para oferecer o melhor serviço para os seus clientes e que que prestará todos os esclarecimentos solicitados, dentro do prazo estipulado pelo Procon-SP.”

Por fim, a Febraban (Federação Brasileira de Bancos) disse em nota ao site:

“Os aplicativos dos bancos contam com o máximo de segurança em todas as suas etapas, desde o seu desenvolvimento até a sua utilização. Portanto, não existe qualquer registro de violação da segurança desses aplicativos, os quais contam com o que existe de mais moderno no mundo para este assunto. Além disso, para que os aplicativos bancários sejam utilizados, há a obrigatoriedade do uso da senha pessoal do cliente.”

O Nubank, Itaú, Banco Pan, Caixa Econômica Federal, Bradesco e Neon não se manifestaram. A reportagem entrou em contato com a ABBC e com a ABFintechs, mas não houve resposta.

Golpes no Pix fazem Procon-SP exigir detalhes de bancos

Os novos golpes de criminosos que usam o Pix agendado para roubar dinheiro chamaram a atenção do Procon-SP; os bancos também deverão apresentar a política de segurança aplicada à ferramenta do Banco Central.

As instituições tem de informar como verificam quem é o titular da chave de acesso do Pix, junto com as políticas de estorno e devolução no caso de fraude. Além disso, o Procon-SP exige que os bancos esclareçam se há diferença do serviço do Pix oferecido entre Android e iOS.

As empresas devem responder ao Procon-SP até o dia 30 de julho.

Com informações: Procon-SP

*Atualizado em 22/06/2021 para incluir o posicionamento do Banco Inter, BMG e C6 Bank.

Relacionados

Escrito por

Pedro Knoth

Pedro Knoth

Ex-autor

Pedro Knoth é jornalista e cursa pós-graduação em jornalismo investigativo pelo IDP, de Brasília. Foi autor no Tecnoblog cobrindo assuntos relacionados à legislação, empresas de tecnologia, dados e finanças entre 2021 e 2022. É usuário ávido de iPhone e Mac, e também estuda Python.

Temas populares