O Procon notificou diversos bancos, fintechs e associações do setor financeiro pedindo explicações sobre dispositivos de segurança, bloqueio, exclusão de dados de forma remota e rastreamento de operações financeiras disponibilizados aos clientes vítimas de furto ou roubo.

O pedido foi motivado por conta de notícias sobre quadrilhas que têm roubado celulares com o objetivo de acessar aplicativos de bancos instalados no aparelho para fazer transferências indevidas na conta bancária da vítima.

As empresas e associações notificadas foram: Bradesco, Itaú, Santander, Caixa Econômica Federal, Banco do Brasil, BMG, Inter, Pan, C6, Neon Pagamentos, NU Pagamentos, Associação Brasileira de Bancos (ABBC), Associação Brasileira de Fintechs (ABFintechs) e Federação Brasileira de Bancos (Febraban).

Levando em consideração as diversas formas de acesso remoto (aplicativos em Smartphones, aparelhos eletrônicos com comunicação via Bluetooth e por aproximação, dentre outros), as empresas foram notificadas a apresentar as seguintes informações:

• laudos técnicos, assinados por profissionais habilitados, dos testes de validação e eficiência realizados em seus sistemas de segurança disponibilizados ao consumidor para acesso remoto às contas bancárias e demais serviços financeiros vinculados ao titular/cliente;

• comprovação dos mecanismos de validação para acesso remoto pelo titular da conta bancária, especificando o número de etapas aplicado ao processo em todas as suas modalidades: senhas, códigos de segurança, reconhecimento de voz e facial, dentre outros;

• quanto a proposta de uso oficial dos dispositivos de segurança, especificar diferenças eventualmente aplicadas em razão do sistema operacional IOS ou ANDROID e do “pacote de serviços” a que esteja vinculado, para desbloqueio e acesso às contas bancárias com objetivo de simples consulta e/ou realização de transações financeiras, comprovando em cada caso o respectivo grau de confiabilidade/vulnerabilidade;

• providências tomadas quando o cliente identifica/comunica possíveis problemas de quebra de segurança de acesso e de violabilidade de dados por fraudes nos sistemas de segurança;

• recepção, tratamento e armazenamento aplicados aos dados fornecidos pelos usuários, no momento da habilitação para acesso remoto à conta bancária e serviços financeiros vinculados;

• período (lapso temporal) previsto para o armazenamento dos dados dos usuários – incluindo as imagens e gravações de voz, comprovando a possibilidade de sua atualização e exclusão de forma remota, se necessárias;

PIX

Especificamente sobre as transações via PIX (Pagamento Instantâneo), as instituições deverão apresentar a política de segurança aplicada para efetivação de tal meio de pagamento, informando o processo complementar – se aplicado, de verificação e validação de titularidade da chave de acesso, bem como a forma de estorno/devolução de valores em razão de comprovação de fraudes por violação de seu sistema de segurança.

Também deverão esclarecer os custos de cobrança, tendo em vista o pacote de serviços contratado pelo cliente, para utilização dos dispositivos de segurança especificando – se aplicável, a distinção em razão do sistema operacional IOS ou ANDROID.

As empresas têm até o dia 30 para responderem aos questionamentos