Entrados que estamos em 2023, esperávamos que algumas coisas para além do custo de vida mudassem; porém, passados 5 dias de janeiro do Ano Novo, as notícias evidenciam que algo continua mal na carteira de muitos portugueses e estou a falar do quê? Do vazio que repentinamente lá aparece.
Chamado à atenção pela Carolina Matos da TVI/CNN que no Portal da Queixa há um rasto imenso de reclamações de pessoas que, sem saber como, viram as suas contas pessoais a esvaziarem e a banca a ignorar tal facto. Fui lá ver com os meus olhos, através da minha lente crítica. Como alguns de vós já sabem, digo sempre com quem me cruzo e converso sobre estes temas que 99% das vezes o problema está entre a cadeira e o teclado, havendo espaço para muitas exceções, claro. Não vou falar dos bancos em questão, mas sim do problema que eles têm em mãos, aos quais, após ler aquelas reclamações, perdi a conta após largas dezenas, o que me deixou bastante apreensivo face à total impassividade das entidades envolvidas. Mais que me deixar apreensivo, deixou-me imensamente preocupado o vazio onde isto tudo cai e também na complexidade das soluções a serem colocadas em prática e que até agora falharam estrondosamente no regulador e regulados.
https://portaldaqueixa.com/brands/banca-seguros-e-imobiliario/bancos?p=2
Sendo concreto, usando as marcas conhecidas de bancos, correios, transportadoras e outras que tal, grupos organizados estão a conseguir que os titulares de contas e às prestações, lhes passem o código de autenticação nos canais digitais para que depois estes mesmos titulares se transformam em duas coisas, “mulas” ou lesados – em ambos casos são vítimas e são-no ao quadrado pois uns perdem o dinheiro e outros verificam que as suas contas foram usadas para “lavar” o trânsito do dinheiro.
Há poucos anos tornou-se massiva a utilização do cartão matriz para confirmar as operações bancárias efetuadas pelo “home banking”. Também algures por esta altura, começaram os amigos do alheio a tarefa de capturar (através de esquemas de phishing) o conteúdo destes cartões e, num golpe de má publicidade, algumas entidades retiraram estes cartões e substituíram-nos, na minha opinião, por sistemas débeis que assentam numa cultura de utilizadores ótimos. Acontece que no nosso pequeno país as coisas não são ótimas, longe disso. Quem segue as minhas crónicas na CNN certamente se recorda de quando escrevi acerca da Iniciativa Novas Oportunidades e da falha em dar conhecimento às centenas de milhares de portugueses que foram presenteados com um computador; uma das coisas que faltou foi precisamente a higiene informática. Foi ali algures que perdemos uma série de oportunidades, sendo que uma delas permitiria que agora estivéssemos a usar os canais digitais dos bancos como eles querem que o façamos, com segurança e de forma ótima.
Ao retroceder no cartão matriz, a não o implementar, a não obrigar que renove automaticamente a todos os 6 a 12 meses ou a não o colocar massivamente a uso com uma tecnologia de confirmação de transações secundária (como por exemplo o SMS), optou-se geralmente por esta última, abrindo assim a porta ao atacante de telemóveis. Relembro que há bancos que apenas possuem um código de utilizador e uma palavra-passe e quando é necessário efetuar operações recebe um SMS; ora, eu aqui digo que isto não chega, pelo menos na minha opinião não chega, e como cliente certamente não me encontrariam a usar um serviço assim. Porquê? Eis a razão.
Olhando para o tempo em que fui aluno do ISEP, nas aulas de Programação de Sistemas Distribuídos, um dos desafios colocados pelo docente era precisamente a criação de uns sistemas de banco distribuído que facilitasse o dia a dia dos clientes. Já ali havia uma preocupação com o não-repúdio de operações e com a segurança das mesmas, e grande parte dos colegas e eu incluído falhamos na questão da segurança pois esta ou era pouca ou era pouco robusta. O problema não era a “força” da palavra-passe mas sim a fraqueza do procedimento de uso, potenciando que piratas informáticos com recurso à engenharia social conseguissem dar a volta aos utilizadores. Naquele laboratório semestral, todos nós passamos parte dos nossos dias a pensar soluções que portassem segurança em todos os sentidos e de forma prática e holística. Ora, os sistemas que temos a uso por boa parte dos bancos consegue este equilíbrio ao ponto de se perceber quando algo falha ou está a ser vítima de abuso, portanto, permitindo que os mecanismos bloqueiem as transações. Curiosamente, os bancos com sistemas mais complexos são também os que menos reclamações do tipo têm no Portal da Queixa.
Fonte: Twitter do Centro Nacional de Cibersegurança
Como já perceberam, a sorte nada tem haver com isto, mas a experiência e o não ter receio de “encravar” o cliente é o que faz a diferença. Olhando para a ciência da criação de interfaces e experiência de utilizadores, esta dita a regra que o simplificar seja o objetivo, e olhando para os grandes nomes dessa área como Nielsen, o objetivo entre a intenção e a ação deve ser o mais curto, o mais memorizável e o mais simples possível, porém com devidas exceções. Ao que observo, as exceções tornaram-se invisíveis ou deixaram de existir nesta luta pelo mais “moderno e amigável” sistema informático que possa ser usado dos 9 aos 99. Isto meus senhores e minhas senhoras, em pleno 2023, é fatal.
Há sistemas que necessitam de complexidade para transmitir várias coisas aos utilizadores e aos proprietários dos sistemas. Um certo grau de complexidade tira a leveza das operações e transmite a necessidade de estar de olhos bem abertos e nestes casos o que é estranho certamente salta à vista. Também para quem vive de tentar ultrapassar estes sistemas a complexidade é maior e, por sua vez, o interesse diminui. Do ponto de vista de quem administra estas plataformas, a complexidade traz mais trabalho mas também mais resultados e acima de tudo tempo, tempo para atuar e reverter alguns danos.
Olhando para este tema na sua globalidade, pode-se dizer que entre a senha de acesso e o SMS de confirmação, há a necessidade de um código robusto, aleatório e eficaz, sendo este composto por um cartão matriz ou código complexo, renovável por emissão ou exigência ao utilizador de tempos em tempos, fechando assim a janela de espera de aquisição dos códigos pelo pirata, apresentando-se como o cenário mais equilibrado e necessário de implementar por imperativo do regulador. Aproveitando o parco conhecimento que há pela população em geral, um sistema de três passos acaba por trazer segurança acrescida quando comparado com outros métodos mais simples. Este sistema aliado a prazos de renovação mais curtos, embora mais chato para o cliente, é bem mais positivo para a segurança e carteira deste. Mas entre bancos, porque é que há soluções distintas? Pois, boa pergunta.
Segundo o que pode ser analisado em instrumentos jurídicos e regras emitidas por entidades e reguladores, e.g., leis para fortificar sistemas e serviços críticos e regras do regulador, o cenário é confuso e até pouco coerente quando comparados. Aqui, e por força do regulador, este pode e deve rapidamente emitir regras mínimas que sejam adequadas ao dia de hoje e se necessário atualizar para o dia de amanhã. Que se faça sem receios, uniformizando por igualdade a forma do meio de acesso e uso dos canais digitais bancários. Embora os visados possam considerar que isso altera a forma como se relacionam com os seus clientes, a verdade é que a bitola é necessária para que a experiência seja igual e transparente para todos os bancos e clientes. Já que estamos em recomendações, abdicar das SMS Token em detrimento de segurança física, promovendo que seja usado um sistema de gestão de chaves eletrónico mas em formato físico e desconectado da “web” é o ideal. Um SMS pode em última instância ser capturado por um pirata que assuma o controlo do smartphone via campanha de phishing mas para aceder ao dispositivo que contem os códigos finais de confirmação, só havendo contacto físico no mundo físico. Quer isto dizer que tudo deva ser assim? Para alguns bancos mundo fora já o é porque vivemos um crescimento exponencial do crime informático, da complexidade da informática e da quantidade de coisas novas que surgem.
Fonte: Projectstoc – Token físico de Segurança:
Deve ser implementado atomicamente? Não, há que estudar um meio que se adeque à nossa realidade, mas há também a necessidade de o fazer de forma geral e que passe por renovações sistemáticas. Por último, e porque me parece que se adequa face às queixas que li, bloquear as verbas a favor do queixoso é imperativo. Muitos reclamantes mencionam que ao falar com os bancos ficam a saber que durante algum tempo o valor está ainda na posse do banco; ora, deixar que depois de tanto stress financeiro e emocional envolvido o valor simplesmente saia da alçada do banco para um congénere seu é um atentado ao bom senso e, acima de tudo, aos valores que a banca deveria representar para com o seu cliente.
Em jeito de despedida, deixo esta recomendação importante caso se veja envolvido num problema destes: não reclame online primeiro! O que deve fazer é falar rapidamente com as autoridades e preferencialmente com a Polícia Judiciária, só depois é que deve usar outros meios para se fazer ouvir. Percebo que possa parecer que um canal público consiga pressionar as entidades envolvidas, mas a realidade é contrária, pelo menos numa primeira instância.
