Idec testa aplicativos de bancos e aponta fragilidade contra golpe do acesso remoto

Trabalho teve duração de seis meses após primeira notificação enviada ao Nubank em abril deste ano

O Idec (Instituto Brasileiro de Defesa do Consumidor) divulgou o relatório que trata sobre o golpe do acesso remoto. Intitulado como “Golpe do Celular Invadido: a responsabilidade dos bancos e os direitos dos consumidores”, o documento traz todo o trabalho realizado pelo Instituto nos últimos seis meses.

O Instituto fez um primeiro levantamento de reclamações a respeito do golpe do acesso remoto e viu que o Nubank foi campeão de reclamações em 2022 no site Reclame Aqui em relação a golpes envolvendo a invasão de celular. Embora muitas dessas reclamações fossem sobre celulares roubados, algumas delas tinham a ver com o golpe do acesso remoto, inclusive com relatos espalhados por redes sociais.

O golpe do acesso remoto

O golpe ocorre quando um criminoso finge ser atendente de um banco e entra em contato com a vítima por algum meio: Whatsapp, SMS, email ou ligação telefônica. Ele fala alguns dados da vítima para ganhar confiança dela e conversa de forma bem técnica e educada também com o mesmo objetivo.

O falso atendente avisa que há algum problema com a conta da pessoa e pede para que ela baixe um aplicativo no celular. Após a vítima baixar esse app, que é um programa de acesso remoto, o golpista guia a pessoa até o aplicativo do banco e, quando ela coloca a senha, ele toma o controle do celular, faz transferências, empréstimos, compras e outros tipos de transações.

O trabalho do Idec no caso

Com isso, o Idec decidiu enviar uma notificação ao Nubank no começo do mês de abril deste ano. Com a resposta do banco, o Instituto resolveu partir para uma investigação mais aprofundada acerca do tema. “Fizemos um levantamento para saber como os principais bancos do país agiam em relação ao golpe do acesso remoto e, a partir desses dados, começamos a questioná-los também sobre o tema”, afirma a coordenadora do Programa de Serviços Financeiros do Idec, Ione Amorim.

A nova notificação foi enviada aos três maiores bancos privados do país: Bradesco, Itaú e Santander. As perguntas foram as mesmas enviadas ao Nubank: se eles já tiveram consumidores que sofreram o golpe, qual a atitude que têm tomado para evitá-lo e se estão devolvendo o dinheiro às vítimas.

Um dos bancos respondeu que era possível sim barrar por completo o acesso remoto ao aplicativo dele e isso fez com que o Instituto fosse além e questionasse o motivo de os outros bancos não terem essa tecnologia.

Após mais uma rodada de notificações, os bancos afirmaram que estavam investindo em medidas de seguranças para evitar por completo o golpe do acesso remoto. Com essa última resposta, o Idec decidiu fazer um teste nos aplicativos dos bancos.

Os testes sobre o uso do acesso remoto

O Idec esperou cerca de um mês após a última notificação enviada para iniciar os testes nos aplicativos dos bancos. O objetivo não era ter uma resposta técnica sobre qual era a brecha de segurança, mas saber se qualquer pessoa que não entende de segurança cibernética conseguiria acessar os aplicativos e fazer um PIX por meio de um software de acesso remoto. “Nós fizemos os testes com voluntários que não tinham familiaridade com o programa de acesso remoto. A ideia era essa mesma. Saber se pessoas leigas conseguiriam acessar os aplicativos dos bancos ou se eles barrariam”, confirma o coordenador jurídico do Idec, Christian Printes.

Se um banco barrasse o acesso remoto, para o Idec era um sinal de que todos os outros também deveriam dispor dessa tecnologia. Assim, todos os consumidores teriam a proteção necessária para não ser vítima desse tipo de fraude. E foi isso que aconteceu.

Um dos bancos testados não apenas bloqueou o acesso remoto como também mostrou uma mensagem de suspeita de golpe e o aplicativo ficou sem funcionar por algumas horas. Só abriu após o voluntário deletar o software de acesso remoto do celular dele. “Esse resultado foi considerado paradigmático pela equipe do Idec, ou seja, ele deve ser o modelo utilizado por todos os outros bancos para evitar o golpe”, explica Printes.

Os outros bancos testados não tiveram o mesmo resultado. Foi possível acessar o aplicativo e até realizar a transferência via PIX. O Idec decidiu enviar uma última notificação aos bancos com a descrição dos resultados dos testes.

Reuniões finais e divulgação do relatório

Após o envio dessa última notificação, três bancos responderam e solicitaram reuniões presenciais com o Idec. Um deles enviou um ofício como resposta.

Nas reuniões e no ofício enviado, os bancos mostraram algumas medidas de segurança que estão tomando não apenas para evitar o golpe do acesso remoto, mas também para outros tipos de fraudes. “Ficou claro que os bancos possuem diferentes visões sobre permitir ou bloquear o acesso remoto. Alguns, por exemplo, dizem que permitem o acesso apenas com cadastro prévio, enquanto outros fazem um monitoramento posterior com base na análise do comportamento do consumidor. Todos se comprometeram a aprimorar os mecanismos de segurança”, destaca Ione Amorim.

Para o Idec, essa decisão de não bloquear efetivamente o acesso remoto é um erro. “Por todo o trabalho que o Idec fez, a gente acredita que é essencial o bloqueio efetivo do acesso remoto. Só assim o consumidor fica 100% seguro de não se tornar uma vítima da fraude. Como existe essa tecnologia no mercado, o Idec indica que todos os bancos e instituições financeiras do país utilizem dela para isso”, determina Amorim.

O relatório não apenas traz a conclusão de todo esse trabalho realizado, mas também pode ser utilizado pelas vítimas dos golpes para tentarem reaver o dinheiro perdido com a fraude. “A gente não pode garantir que o uso do relatório vai fazer com que o banco devolva o dinheiro ou que a pessoa vai conseguir vencer a ação na Justiça. Porém, mesmo assim, ele é um instrumento importante para as vítimas utilizarem, já que traz a explicação detalhada de todo o trabalho e de como os bancos devem ser responsabilizados, se decidirem por não bloquear o acesso remoto aos aplicativos deles”, conclui a coordenadora do Programa de Serviços Financeiros do Idec.

O Idec decidiu por preservar os detalhes dos testes realizados para evitar a disseminação de falhas e facilitação de uso indevido do acesso remoto como prática criminosa. Por isso, esses detalhes não estão presentes no relatório divulgado pelo Instituto.

O documento ainda traz o Artigo 14 do Código de Defesa do Consumidor e a Súmula 479 do Superior Tribunal de Justiça (STJ) como normas que garantem o direito das vítimas junto às instituições bancárias. “O banco que causar dano devido à falha de segurança comprovada deverá reparar o dano, mesmo em caso fortuitos de fraudes ou de atos praticados por outras pessoas através de operações bancárias, conforme entendimento pacificado pelo STJ”, comenta o advogado do Idec, Anderson Resende

Além do relatório, o Idec também disponibiliza um modelo de petição para quem precisar entrar na Justiça na busca pela reparação ao dano sofrido. “A ação judicial deve ser a última tentativa de solução ao problema. A gente indica que primeiro a vítima entre em contato direto com o banco. Se a resposta for negativa, faça uma denúncia nos órgãos de defesa do consumidor, como o Procon e o site consumidor.gov.br. Se ainda assim o banco se recusar a devolver o dinheiro, aí nós temos esse modelo de petição para que os nossos associados consigam entrar com uma ação nos Juizados Especiais”, completa Resende.

Quer ficar por dentro de todas as informações do Open Hub News? Acesse nosso Linkedin ou assine nossa Newsletter.

Autor