O Procon de São Paulo notificou nesta sexta-feira, 18 de junho, dez instituições financeiras e três entidades representativas do setor a respeito de brechas de segurança que têm permitido a ladrões de celular limpar a conta das vítimas mesmo sem obter senhas. São requisitados esclarecimentos sobre dispositivos de segurança, bloqueio, exclusão de dados de forma remota e rastreamento de operações financeiras disponibilizados aos clientes vítimas de furto ou roubo.
As notificações foram encaminhadas a todos os cinco maiores bancos do sistema, Itaú Unibanco, Bradesco, Santander, Banco do Brasil e Caixa Econômica Federal, bem como aos de médio porte e digitais BMG, Inter, Pan, C6, Neon e Nubank. As entidades notificadas foram a Federação Brasileira de Bancos (Febraban), a Associação Brasileira de Bancos (ABBC) e a Associação Brasileira de Fintechs (ABFintechs).
A esses, o Procon solicita “laudos técnicos, assinados por profissionais habilitados, dos testes de validação e eficiência realizados em seus sistemas de segurança disponibilizados ao consumidor para acesso remoto às contas bancárias e demais serviços financeiros vinculados ao cliente”. Também pede a comprovação de mecanismos de acesso às contas, “especificando o número de etapas aplicado ao processo em todas as suas modalidades: senhas, códigos de segurança, reconhecimento de voz e facial, dentre outros”.
Além disso, o órgão de proteção ao consumidor quer saber que providências são tomadas em caso de “quebra de segurança de acesso e de violabilidade de dados”, o tratamento dispensado aos dados fornecidos pelos usuários, desde o envio no momento da habilitação do acesso remoto ao armazenamento. As empresas têm até o dia 30 para responderem aos questionamentos do Procon-SP.
O Pix, instrumento de pagamento e transferências instantâneas desenvolvido e lançado pelo Banco Central na virada do ano, também foi objeto dos questionamentos do Procon. As instituições terão de apresentar a política de segurança aplicada ao mecanismo, incluindo “verificação e validação de titularidade da chave de acesso, bem como a forma de estorno ou devolução de valores em razão de comprovação de fraudes por violação de seu sistema de segurança”.