O código PIN é uma das principais linhas de defesa do cartão Multibanco, funcionando como uma chave pessoal que permite validar várias operações presenciais, como levantamentos e pagamentos em terminais físicos. Contudo, muitos utilizadores continuam a optar por combinações simples e facilmente previsíveis, o que pode comprometer a segurança das suas contas.
Risco acrescido com códigos óbvios
De acordo com a Marketeer, o código do cartão Multibanco, habitualmente composto por quatro dígitos, é essencial para validar muitas transações no mundo físico. Nas operações online, o PIN do cartão não é suficiente por si só, já que, segundo o Banco de Portugal, são exigidos mecanismos de autenticação forte do cliente em pagamentos eletrónicos e acessos remotos a contas bancárias.
Ainda assim, a escolha de números demasiado comuns, como “1234” ou datas de nascimento, facilita a vida a quem tente usar indevidamente um cartão, sobretudo em situações de perda, roubo ou captura do código.
A SIBS/MULTIBANCO recomenda que o PIN seja memorizado, nunca escrito em papéis ou objetos do dia a dia, introduzido com o teclado protegido e alterado regularmente. A mesma entidade aconselha ainda a evitar combinações óbvias, como datas de nascimento ou sequências fáceis.
A previsibilidade facilita ataques
Com apenas 10.000 combinações possíveis, um PIN de quatro dígitos depende muito da forma como é escolhido. Combinações previsíveis tornam-se mais vulneráveis quando alguém tem acesso ao cartão e consegue observar ou obter o código.
Ainda assim, isto não significa que seja possível testar livremente todas as combinações num Multibanco. Os sistemas bancários têm limites de tentativas e podem bloquear ou reter cartões em caso de erros repetidos. O risco aumenta sobretudo quando o código é simples, foi visto por terceiros ou está guardado junto do cartão.
Dados preocupantes sobre a escolha dos PIN
Segundo a Marketeer, que cita uma análise da DataGenetics feita por Nick Berry a 3,4 milhões de códigos de quatro dígitos retirados de bases de dados comprometidas, quase 11% das combinações analisadas eram “1234”. A análise não se baseou em PIN reais de cartões Multibanco portugueses, mas mostra como muitos utilizadores tendem a escolher números demasiado previsíveis.
No mesmo conjunto de dados, mais de um quarto dos códigos pertenciam às 20 combinações mais comuns. A lista dos códigos mais usados incluía “1234”, “1111”, “0000”, “1212”, “7777”, “1004”, “2000”, “4444”, “2222” e “6969”.
O uso de datas pessoais, como aniversários, também é frequente e reduz a segurança do cartão, uma vez que estes números podem ser mais fáceis de associar ao titular.
Combinações aleatórias e práticas de segurança
Para aumentar a proteção, é aconselhada a escolha de sequências aleatórias, que não sigam padrões evidentes. O estudo citado apontou o “8068” como uma das combinações menos utilizadas, mas este número já foi amplamente divulgado e não deve ser copiado como recomendação.
A melhor opção é escolher um código próprio, sem ligação a datas pessoais, matrículas, moradas, números repetidos ou sequências fáceis de memorizar por terceiros.
Além de evitar repetições ou combinações simples, é fundamental nunca revelar o PIN por telefone, SMS, e-mail ou a terceiros, mesmo que alguém se apresente como funcionário do banco. As instituições financeiras não pedem aos clientes que revelem o código secreto desta forma.
Recomendações para evitar fraudes
Ao inserir o PIN num terminal, deve-se sempre proteger o teclado da vista de terceiros para prevenir a captura por câmaras ocultas ou olhares indiscretos. Também é importante não guardar o código em locais acessíveis, como notas na carteira, no telemóvel ou junto do próprio cartão.
Se houver suspeitas de que o código Multibanco foi comprometido, o banco deve ser contactado imediatamente para bloquear o cartão e evitar prejuízos. A SIBS/MULTIBANCO recomenda também contactar a SIBS ou as autoridades em caso de suspeita de fraude.
Nos termos do Decreto-Lei n.º 91/2018, que regula os serviços de pagamento, o utilizador deve preservar a segurança das suas credenciais personalizadas e comunicar sem atraso injustificado a perda, o roubo, o furto ou qualquer utilização não autorizada do cartão. A lei prevê ainda regras de responsabilidade em caso de operações não autorizadas, pelo que guardar ou divulgar o PIN de forma descuidada pode ter consequências.
Atualizar o código com regularidade e escolher combinações difíceis de prever são práticas importantes para manter a segurança.
A importância da autenticação forte
Além de um PIN seguro, a autenticação forte do cliente nas operações bancárias online aumenta significativamente a proteção.
Segundo o Banco de Portugal, esta autenticação implica pelo menos dois elementos de categorias diferentes, como algo que só o utilizador conhece, algo que possui, como o telemóvel, ou algo inerente ao próprio utilizador, como a impressão digital.
Combinar estes fatores torna as tentativas de acesso indevido muito mais difíceis. Nas operações remotas, a autenticação deve ainda associar a validação ao montante e ao beneficiário da operação.
Assim, manter um PIN robusto e utilizar mecanismos adicionais de verificação são estratégias complementares para uma proteção mais eficaz da conta bancária.
Olhe pela sua conta
Segundo a Marketeer, apesar de parecer um detalhe simples, o PIN pode tornar-se uma vulnerabilidade importante do cartão Multibanco quando escolhido de forma previsível.
Leia também: Pagar o IMI de uma só vez dá desconto? Saiba a resposta antes do prazo terminar nesta data
