O aviso apanhou muitos clientes de surpresa. Uma vulnerabilidade no sistema de transferências poderá ter exposto o IBAN de várias contas bancárias do ActivoBank, apenas através da associação ao número de telemóvel. Embora não haja indícios de movimentações indevidas, o incidente levanta sérias preocupações sobre privacidade e segurança digital no setor bancário português.
A informação foi divulgada pelo forúm de tecnologia digital TugaTech, que teve acesso a uma comunicação enviada pelo banco aos clientes. Segundo essa nota, a falha foi explorada por atacantes que conseguiram obter o IBAN associado a determinados números de telefone de clientes. O banco garantiu que a vulnerabilidade não permitia aceder a saldos ou fazer transferências, mas expunha um dado sensível que pode ser usado em esquemas de fraude.
O que está em causa
A origem do problema estará ligada ao SPIN, serviço lançado pelo Banco de Portugal (BdP) em 2024 para simplificar transferências, permitindo identificar contas bancárias através do número de telemóvel, NIF ou NIPC, sem partilhar o IBAN dos clientes. A ideia era aumentar a conveniência e a segurança, mas a falha acabou por revelar o próprio dado que pretendia proteger.
De acordo com o BdP, o sistema confirma o nome do beneficiário antes da autorização da transferência e não mostra o IBAN ao ordenante. O que falhou, portanto, terá sido a forma como a funcionalidade foi implementada pelo banco. Através de simulações de transferências, os atacantes conseguiam forçar a plataforma a devolver o IBAN completo associado a um determinado número de telefone.
O perigo da engenharia social
Mais do que um problema técnico, o caso representa um risco acrescido de fraude. O ActivoBank alertou que os burlões podem usar o IBAN obtido como “prova” de legitimidade em chamadas ou mensagens fraudulentas. Esse é um dos métodos mais comuns em esquemas de engenharia social, onde o atacante se faz passar por um funcionário do banco e convence a vítima a fornecer códigos ou credenciais.
Na prática, basta mencionar o IBAN correto para ganhar a confiança da vítima e levá-la a revelar dados de acesso, palavras-passe ou códigos de segurança. É assim que muitas fraudes bancárias começam — e este tipo de informação pode ser o ponto de partida para ataques mais complexos.
Regras de segurança reforçadas
Na mensagem enviada aos clientes, o ActivoBank reafirma que nunca pede dados de acesso como o IBAN por telefone, SMS ou e-mail, e recomenda que não sejam seguidos links em comunicações suspeitas. A instituição sublinha que as suas mensagens não contêm hiperligações e que o acesso ao homebanking deve ser feito apenas através do site ou da aplicação oficial.
Outra boa prática passa por ativar alertas na aplicação para confirmar movimentos e detetar rapidamente qualquer operação suspeita. Esta funcionalidade permite uma reação imediata caso algo estranho aconteça na conta.
Falha não está isolada
O caso teve implicações mais amplas. A Caixa Geral de Depósitos também terá contactado clientes a informar que números de conta e IBAN “foram obtidos ilicitamente”, segundo o TugaTech, sem confirmar a origem da fuga. As suspeitas voltam a recair sobre o SPIN, embora o Banco de Portugal não tenha emitido qualquer comunicado oficial sobre vulnerabilidades no sistema.
Especialistas em cibersegurança alertam que plataformas interbancárias partilhadas aumentam a conveniência, mas também os riscos. Uma falha num banco pode ser replicada noutras instituições, caso as correções não sejam coordenadas.
CNPD poderá investigar o caso
A Comissão Nacional de Proteção de Dados (CNPD) poderá vir a acompanhar o caso, uma vez que envolve a exposição de dados pessoais. O IBAN é considerado dado pessoal e, segundo o Regulamento Geral sobre a Proteção de Dados (RGPD), a instituição responsável deve notificar a autoridade de controlo sempre que exista risco para os titulares.
Um alerta para o futuro
O incidente deixa um aviso claro: a conveniência não pode comprometer a segurança. O SPIN foi desenhado para tornar as transferências mais simples e seguras, mas a sua eficácia depende de implementações corretas por parte dos bancos, tal como relata o TugaTech.
O Banco de Portugal tem sublinhado que o serviço confirma o beneficiário antes da transferência, mas reconhece que erros de integração podem abrir brechas exploráveis.
Problema recorrente
Nos últimos anos, os esquemas de fraude bancária têm-se tornado cada vez mais comuns em Portugal, acompanhando a digitalização dos serviços financeiros. As burlas já não se limitam a e-mails duvidosos: hoje chegam por SMS, chamadas falsas e até mensagens de WhatsApp, muitas vezes com logótipos e linguagem idêntica à das instituições oficiais.
Segundo dados recentes da Polícia Judiciária e do Banco de Portugal, os crimes informáticos relacionados com phishing e engenharia social cresceram de forma acentuada desde 2022, com prejuízos que atingem milhares de clientes e milhões de euros em perdas. O objetivo é sempre o mesmo, convencer a vítima a revelar dados de acesso que permitem aos burlões entrar nas contas e movimentar dinheiro em poucos minutos.
À medida que as tecnologias bancárias evoluem, os esquemas de fraude também se tornam mais sofisticados. A primeira linha de defesa continua a ser o comportamento do utilizador: desconfiar de contactos inesperados, evitar clicar em links e nunca partilhar códigos ou credenciais com terceiros.
Leia também: TAP faz aviso: se lhe pedirem para colocar a mala de mão no porão deve fazer isto de imediato
