O aviso apanhou muitos clientes de surpresa. A existência de uma vulnerabilidade no sistema de transferências poderá ter exposto o IBAN de várias contas bancárias do ActivoBank, apenas através da ligação ao número de telemóvel. A situação levanta sérias preocupações sobre privacidade e segurança digital.
Segundo o forúm de tecnologia digital TugaTech, com base numa comunicação enviada pelo banco aos clientes, a falha foi explorada para obter o IBAN associado ao telemóvel, não havendo indícios de movimentação de fundos.
O incidente está relacionado com o SPIN, serviço lançado pelo Banco de Portugal (BdP) em 2024 para simplificar transferências, permitindo enviá‑las com o número de telemóvel/NIF/NIPC em vez do IBAN. Esta ferramenta foi pensada para simplificar transferências, permitindo que o dinheiro fosse enviado, sem necessidade de partilhar o IBAN. Agora, a falha técnica revelou aquilo que o sistema queria proteger.
De acordo com o BdP, o SPIN confirma o nome do beneficiário antes da autorização e não prevê mostrar o IBAN ao ordenante, pelo que a exposição do IBAN decorre da forma como a funcionalidade foi implementada pela instituição.
Segundo a comunicação citada pelo TugaTech, atacantes simulavam transferências para fazer a plataforma devolver o IBAN completo associado a um número de telefone. O banco frisou que a falha não dava acesso a mais informação da conta, mas expunha um dado sensível que pode ser valioso em esquemas de fraude.
O perigo da engenharia social
Para o ActivoBank, a maior ameaça está no uso do IBAN por burlões como “prova” de legitimidade, num contacto telefónico ou por mensagem, levando a vítima a revelar códigos ou credenciais. Este vetor é comum em tentativas de fraude em Portugal, com mensagens, chamadas e e‑mails a imitar entidades legítimas.
Na prática, alguém munido desse dado pode ligar à vítima, fingindo ser funcionário do banco. Ao mencionar o IBAN como “prova” de legitimidade, ganha a confiança necessária para pedir códigos de acesso, palavras-passe ou outros elementos de segurança. É assim que muitas fraudes bancárias se iniciam.
Regras de segurança reforçadas
Na mensagem enviada, o ActivoBank recorda que não pede dados de acesso por telefone/SMS/e‑mail e aconselha a não seguir links em comunicações. O próprio banco indica nas páginas de segurança que as suas comunicações não contêm links e que o cliente deve aceder diretamente ao site ou à app oficial.
Outra recomendação é evitar entrar no homebanking através de links recebidos por mensagens. A forma segura de aceder à conta continua a ser escrever diretamente o endereço oficial no navegador ou usar a aplicação do banco.
Outra recomendação é ativar alertas na app para validar movimentos e detetar rapidamente qualquer operação suspeita, funcionalidade prevista pela instituição.
Falha pode não estar isolada
A CGD terá esta quarta-feira contactado clientes a informar que números de conta e IBAN “foram obtidos ilicitamente”, sem confirmar a origem, com suspeitas a recair no SPIN, relata o TugaTech. Não existe, até agora, comunicado oficial do Banco de Portugal a apontar para uma vulnerabilidade sistémica.
De acordo com a mesma fonte, especialistas em cibersegurança sublinham que sistemas interbancários partilhados aumentam a conveniência, mas também ampliam os riscos. Um problema detetado numa instituição pode ser replicado noutras, caso não haja correções coordenadas.
A Comissão Nacional de Proteção de Dados poderá ser chamada a acompanhar o caso, uma vez que envolve tratamento e exposição de dados pessoais. Em situações semelhantes, já foram aplicadas coimas a entidades que não asseguraram devidamente a confidencialidade da informação.
Como o IBAN é dado pessoal, situações deste tipo podem enquadrar‑se como violação de dados. De acordo com a CNPD e o RGPD (art. 33.º), a notificação à autoridade deve ocorrer em 72 horas quando exista risco para os titulares. Não há, porém, confirmação pública de qualquer notificação neste caso.
Um alerta para o futuro
A conveniência de transferir dinheiro apenas com um número de telemóvel não dispensa atenção às boas práticas. Segundo o Banco de Portugal, o SPIN veio simplificar e acrescentar segurança ao processo (com confirmação de beneficiário), mas implementações deficientes podem abrir brechas exploráveis por atacantes. A vigilância do utilizador continua a ser a primeira linha de defesa.
Enquanto a tecnologia avança, também os esquemas fraudulentos se tornam mais sofisticados. Pequenos deslizes, como confiar num telefonema inesperado ou clicar num link suspeito, podem abrir portas a perdas financeiras consideráveis.
Leia também: Muitos condutores confundem: conheça a diferença entre estes dois sinais de trânsito quase iguais e evite multas
