Um novo alerta bancário voltou a levantar preocupações sobre a segurança digital em Portugal. A Caixa Geral de Depósitos (CGD) enviou recentemente uma comunicação a vários clientes, confirmando a deteção de um incidente de segurança que poderá ter exposto dados sensíveis. O aviso do banco surge poucos dias depois de um caso semelhante ter sido reportado pelo ActivoBank, levantando dúvidas sobre a robustez de um sistema usado por vários bancos em Portugal.
Nas mensagens enviadas, o banco informou que alguns clientes tiveram os seus dados obtidos “de forma ilícita, por meios alheios à Caixa Geral de Depósitos”. Entre as informações expostas estarão números de conta e IBAN, associados apenas ao número de telemóvel dos titulares.
Apesar da gravidade da situação, a CGD fez questão de sublinhar que o incidente “não resulta nem resultará em qualquer perda financeira”, assegurando que os serviços bancários permanecem íntegros e operacionais. Ainda assim, o episódio gerou apreensão entre clientes.
O que está em causa?
Segundo o forúm de tecnologia digital TugaTech, a vulnerabilidade poderá estar relacionada com o sistema SPIN, plataforma criada pelo Banco de Portugal em 2024 para simplificar transferências. O objetivo era permitir que estas fossem feitas apenas com o número de telemóvel do destinatário, sem necessidade de partilhar o IBAN.
Os atacantes terão explorado o mecanismo de verificação, simulando transferências de modo a associar números de telefone a nomes de titulares e respetivos IBANs. Uma ironia amarga, já que o sistema foi desenhado precisamente para proteger os dados mais sensíveis.
De acordo com a mesma fonte, a CGD não confirmou oficialmente que a falha tenha origem no SPIN, mas as semelhanças com o caso anteriormente reportado pelo ActivoBank tornam a hipótese difícil de ignorar. Para já, não há indicação de que outros bancos tenham comunicado falhas semelhantes.
O risco da engenharia social
O perigo principal não está no acesso direto ao dinheiro, mas sim na utilização dos dados expostos em esquemas de fraude. De posse do IBAN e de outros elementos de validação, criminosos podem contactar vítimas fingindo ser funcionários do banco e, assim, obter informações mais críticas, como códigos de acesso ou palavras-passe.
Este tipo de ataque, conhecido como engenharia social, tem vindo a aumentar em Portugal. São comuns os casos de SMS falsos, emails com links fraudulentos ou chamadas telefónicas que imitam linhas de apoio ao cliente. Ter o IBAN em mãos é mais uma forma de reforçar a credibilidade da burla.
A CGD lembra que os clientes nunca devem fornecer dados pessoais por telefone, SMS ou email, mesmo que o interlocutor se apresente como representante do banco. O mesmo se aplica a códigos enviados por mensagem, que apenas devem ser introduzidos na app oficial ou no site da instituição.
Recomendações de segurança
Entre as boas práticas reforçadas pela CGD estão três pontos centrais: não clicar em links recebidos por mensagens não solicitadas, não efetuar operações em caixas Multibanco a pedido de terceiros e nunca fornecer elementos de autenticação fora dos canais oficiais.
O banco aconselha ainda os clientes a ativar alertas de movimentos na app, que permitem receber notificações em tempo real sempre que há uma transação. Esta medida simples pode fazer a diferença para detetar rapidamente qualquer tentativa de fraude, de acordo com o TugaTech.
Este tipo de ataques não exploram apenas falhas técnicas, mas sim lapsos humanos, como a confiança em telefonemas inesperados ou a pressa em responder a mensagens alarmistas.
A Comissão Nacional de Proteção de Dados (CNPD) poderá vir a avaliar o caso, uma vez que envolve tratamento e exposição de dados pessoais. Em situações semelhantes, a entidade já aplicou sanções a instituições que não garantiram níveis adequados de proteção da informação.
Este episódio surge num contexto em que a digitalização dos serviços bancários avança rapidamente em Portugal. A conveniência de transferir dinheiro com recurso apenas ao número de telemóvel trouxe vantagens, mas também novos riscos que agora começam a ficar mais visíveis.
Um alerta para o futuro?
Mais do que um problema pontual, este caso serve de lembrete de que nenhum sistema está totalmente imune a falhas. Bancos, reguladores e clientes precisam de estar atentos para garantir que a inovação digital não abre caminho a novas formas de fraude.
Para os clientes, a regra é clara: manter vigilância, confirmar sempre as comunicações recebidas e desconfiar de qualquer pedido de dados pessoais. O futuro da banca digital passa pela confiança, mas essa confiança só se constrói com transparência e segurança.
Leia também: Alerta para quem tem conta neste banco português: falha de segurança expôs IBAN de clientes através do telemóvel
