As burlas não param de evoluir, mas um dos esquemas mais antigos continua entre os mais eficazes: os skimmers. São pequenos dispositivos, muitas vezes escondidos em terminais de pagamento automático, caixas multibanco ou bombas de combustível, capazes de copiar dados do cartão e, em minutos, permitir levantamentos ou pagamentos indevidos. A boa notícia é que a melhor defesa pode estar no bolso: o smartphone.
Como funciona o esquema
Um skimmer é um aparelho disfarçado, colocado de forma quase impercetível no leitor de cartões. Quando insere ou passa o cartão, o dispositivo copia os dados da banda magnética. Em versões mais elaboradas, os criminosos acrescentam microcâmaras direcionadas para o teclado ou instalam teclados falsos para capturar o PIN. De acordo com a Polícia Judiciária, numa partilha nas redes socias, este método continua ativo e justifica alertas regulares, porque os dispositivos são cada vez mais difíceis de detetar.
Sinais de alerta
Para quem ainda usa cartão físico, a atenção é decisiva. O terminal deve estar firme e com o aspeto habitual. Se vir peças desalinhadas, mais espessas do que é normal, ranhuras soltas ou qualquer colagem suspeita, desista da operação. Em alguns postos de combustível existem selos de segurança; se estiverem rasgados ou com indicação de violação, não arrisque.
A Polícia Judiciária recomenda também tapar sempre o teclado ao digitar o PIN e evitar ATMs ou bombas isoladas, onde a probabilidade de adulteração é maior. A Deco Proteste reforça a mesma orientação: quanto mais visível e movimentado o local, menor o risco.
O smartphone como defesa
A forma mais eficaz de reduzir o risco de clonagem é evitar o cartão físico sempre que possível. Pagamentos móveis como Apple Pay ou Google Wallet utilizam mecanismos de tokenização e códigos dinâmicos por transação. Segundo a Apple, o número real do cartão não é partilhado com o comerciante e cada pagamento gera um código único, inútil para reutilização.
A Google documenta o mesmo princípio no ecossistema Android: o terminal recebe um token de pagamento e um “cryptogram” específico daquela operação, não o número verdadeiro do cartão. Em termos práticos, um skimmer que capture dados no terminal não consegue replicar uma transação contactless feita por smartphone.
O Banco de Portugal sublinha no seu site que os pagamentos por aproximação são seguros quando usados corretamente, porque o cartão ou o telemóvel não saem da mão do utilizador e existem salvaguardas adicionais impostas pelos emissores.
E se não houver contactless?
Nem todos os terminais suportam pagamentos móveis. Se tiver de usar o cartão, privilegie boas práticas: não perca o cartão de vista no momento do pagamento, rejeite TPAs com aspeto improvisado, escolha bombas próximas da loja e caixas multibanco em locais iluminados. Ativar alertas de movimentos na app do banco ajuda a detetar atividade suspeita em tempo útil.
No capítulo da responsabilidade, o enquadramento europeu é claro. Segundo o Banco de Portugal, ao abrigo da PSD2, em operações de pagamento não autorizadas a responsabilidade do utilizador está, em regra, limitada a um montante reduzido (tipicamente até 50 euros) até ao momento em que informa o banco, salvo fraude ou negligência grosseira. Ou seja, reportar cedo e com detalhe é essencial para proteção do consumidor.
Persistem, mas com um perfil diferente
Os skimmers não desapareceram. A Polícia Judiciária tem anunciado investigações e desmantelamentos de grupos dedicados a esta prática, incluindo casos recentes ligados à clonagem de cartões em ATMs e terminais de pagamento.
Ao mesmo tempo, segundo a associação europeia EAST, os ataques de skimming na Europa têm-se mantido em níveis relativamente baixos quando comparados com picos de anos anteriores, embora continuem a gerar perdas, sobretudo quando os dados copiados são explorados fora da União Europeia em sistemas que ainda dependem da banda magnética.
O essencial
O skimming continua a ser um risco real, mas é hoje mais contornável graças aos pagamentos móveis. Se puder, use o smartphone para pagar; se não puder, vigie o terminal, tape o PIN e escolha locais movimentados. De acordo com a Polícia Judiciária e o Banco de Portugal, a combinação de prudência no local, monitorização de movimentos e reporte rápido de qualquer operação estranha é o triângulo que melhor o protege.
Leia também: Reformado deixa casa avaliada em 750.000€ a empregada de mesa e familiar reclama herança: caso foi ‘parar’ a tribunal
