Os utilizadores de cartões bancários estão a ser avisados para um novo tipo de burla que pode esvaziar contas em minutos e que envolve clonagem. O golpe, conhecido como shimming, recorre a um dispositivo oculto no interior da ranhura de multibancos ou terminais de pagamento que recolhe dados diretamente do chip ou da faixa magnética do cartão.
De acordo com o jornal The Connexion, jornal digital em língua inglesa sediado em França de notícias francesas, o chamado shimmer é tão discreto que não altera a aparência do terminal nem a funcionalidade do cartão, tornando-se praticamente impossível de detetar. A informação recolhida é enviada remotamente para os criminosos, que podem cloná-la e realizar levantamentos ou pagamentos sem que a vítima se aperceba.
Como funciona o “shimming”
Segundo a mesma fonte, o dispositivo fica inserido dentro do leitor de cartões e capta automaticamente os dados quando este é introduzido. A partir daí, os criminosos podem criar cartões falsos ou realizar transações em nome da vítima, incluindo pagamentos contactless, passagens em portagens ou levantamentos no estrangeiro, o que pode gerar ainda mais custos devido às taxas internacionais.
Em junho, um caso nas imediações de Paris levou à detenção de quatro suspeitos, acusados de instalar estes dispositivos numa estação de serviço e de usar a informação obtida para levantar dinheiro em caixas automáticas em Espanha.
Apesar do grau de sofisticação, os números ainda são reduzidos: em 2023, estima-se que o shimming tenha permitido o roubo de cerca de 36 mil euros em França, valor modesto quando comparado com os cerca de 500 milhões de euros associados a outras formas de fraude com cartões, segundo o Banque de France citado pela mesma fonte.
Como se proteger
Especialistas em segurança alertam que, dada a natureza oculta do shimming, é difícil adotar medidas preventivas eficazes. No entanto, o site Signal-Arnaques, plataforma francesa especializada em denúncias e partilha de informações sobre fraudes, burlas e esquemas online, recomenda a monitorização frequente das contas bancárias e o reporte imediato de qualquer movimento suspeito. Sempre que possível, aconselha-se a utilização de pagamentos contactless, que dispensam a introdução do PIN e limitam a exposição do cartão a estes dispositivos.
Em caso de fraude, e desde que não exista negligência por parte do cliente, os bancos devem reembolsar as quantias indevidamente retiradas, ao contrário do que acontece em esquemas como o phishing, onde a partilha voluntária de credenciais pode complicar o processo de devolução.
A situação em Portugal
Em Portugal, este tipo de burla ainda não tem expressão significativa, mas a Polícia Judiciária já alertou para dispositivos semelhantes usados em caixas automáticas e terminais de pagamento. Segundo a PJ, citada pelo Notícias ao Minuto, criminosos recorrem a microcâmaras e aparelhos discretos para copiar dados e registar códigos PIN, técnicas que têm vindo a evoluir de forma constante.
O Notícias ao Minuto acrescenta que as autoridades recomendam atenção redobrada a caixas multibanco com sinais de manipulação, a utilização de cartões virtuais para compras online e a ativação de alertas de transação nos serviços bancários digitais.
Citado pela Sic Notícias, o Banco de Portugal confirma que a maioria das fraudes com cartões nacionais ocorre em transações realizadas fora do país, o que reforça a necessidade de vigilância acrescida.
Tendência europeia
Relatórios da Europol, citados pelo The Connexion, também já identificaram o shimming como uma evolução tecnológica do skimming, colocando-o entre as principais ameaças aos sistemas de pagamento físicos na União Europeia. As autoridades recomendam verificar sempre a ranhura do multibanco antes de inserir o cartão e proteger o teclado ao introduzir o PIN.
A mensagem é clara: se algo parecer suspeito, o melhor é não usar aquela máquina. O simples gesto de afastar-se pode evitar que o cartão seja clonado e que a conta bancária fique em risco.
