As possíveis vulnerabilidades em aplicativos de instituições financeiras e em smartphones de Apple, Samsung e Motorola levaram o Procon notificar empresas que atuam em São Paulo para explicarem, em até 72 horas, como criminosos estão conseguindo invadir contas bancárias após o furto de celulares.

Conforme a Folha de S.Paulo revelou nesta semana, proliferam na capital paulista quadrilhas especializadas em furtar celulares com o propósito primeiro de acessar os aplicativos de bancos para subtração de valores. Também há relatos de crimes semelhantes ocorridos no interior do estado, na região de Campinas.

Nas notificações encaminhadas às empresas e instituições bancárias, a Fundação de Proteção e Defesa do Consumidor cobra informações sobre eventuais vulnerabilidades. As empresas deverão encaminhar documentos, entre eles laudos que garantam a segurança no desbloqueio dos aparelhos e nos aplicativos.

"Estamos perguntando: 'quais as garantias vocês dão contra as fraudes digitais do sistema?'. O consumidor tem direito à informação. Se for impossível tecnologicamente coibir essas fraudes, o consumidor tem que saber, para minimizar os riscos", disse o diretor executivo do órgão, Fernando Capez.

Ainda de acordo com o Procon, após as respostas das instituições, a direção do órgão vai analisar as medidas a serem adotadas. "Poderá haver responsabilização dos bancos não apenas em termo de multas, de até de R$ 10 milhões, mas, inclusive, de ações civis públicas, para obrigá-los a adotar essas práticas [de segurança para evitar fraudes]", disse Capez.

A Folha de S.Paulo localizou sete alvos que, após terem o aparelho celular levado, tiveram as contas invadidas por criminosos. Após acesso às contas, eles conseguiram transferir das pessoas entre R$ 5.000 e R$ 45 mil.

Por regra, eles encaminham recursos de um banco A para um banco B, ambos da mesma titularidade da pessoa (por possuírem o mesmo CPF), e, do último banco, repassam para contas de terceiros. Em mais da metade dos casos, as instituições bancárias não admitiram a fraude e estão se recusando a ressarcir os clientes de prejuízos. Para uma dessas pessoas, o furto do celular levou a um prejuízo em torno de R$ 100 mil.

Em razão do crescimento do número de casos, o Procon está recomendando aos alvos de crimes de celulares para que façam primeiro a comunicação aos bancos (para bloqueio das contas) antes mesmo do que para as operadoras de telefonia celular e outros serviços.

Isso pode evitar, por exemplo, que a instituição passe a culpar o cliente pela demora na comunicação de eventuais fraudes nas contas.

Conheça algumas dicas para aumentar a segurança de seu smartphone

Não use a mesma senha para acesso de contas diferentes - Crie uma para cada conta
Não salve números de senhas no aparelho, como em blocos de nota
Não deixe armazenadas no aparelho imagens de cartão de crédito
Utilize senhas fortes, compostas de números, letras (maiúsculas e minúsculas) e símbolos, preferencialmente aleatórios
Retirar da tela de bloqueio a possibilidade de colocar o aparelho em modo avião
Habilite o controle de acesso por biometria de serviços financeiros
Diminua, junto a sua instituição financeira, o limite individual e diário das suas transações financeiras

De acordo com número da Secretaria da Segurança Pública, dos 39.750 assaltos registrados na capital entre janeiro e abril deste ano, em 13.697 deles foram levados celulares (34,4%). Já com relação aos furtos (sem violência), dos 50.556 registros feitos, 14.516 envolviam celulares (29%).

O músico Jorge de Godoy Monteiro, 30, está com rombo de R$ 17 mil na conta do Santander após ter o iPhone 11 furtado, mesmo tendo ligado imediatamente para o serviço de atendimento ao cliente do banco.

"Limparam minha conta antes mesmo de eu conseguir falar na central de atendimento", diz músico.

"O delegado me falou com uma naturalidade, quando fui fazer um boletim de estelionato, que é isso que os bandidos estão fazendo: eles pegam seu celular e mudam seu Face ID [reconhecimento facial], burlam o Face ID, e não tem senha nenhuma de bancos que segure eles", afirmou.

Dessas sete pessoas localizadas pela reportagem, seis delas tinham aparelhos da Apple, entre iPhone 10 e 11, e todos eles com sistema de reconhecimento facial para acesso ao aparelho e a aplicativos. Três dos aparelhos foram levados bloqueados pelos criminosos, conforme os alvos.

Policiais civis que trabalham em investigações de crime cibernéticos ouvidos pela Folha disseram que ainda estão estudando o problema para entender o que vem acontecendo. Já integrantes do Ministério Público que atuam nessa mesma área apontam eventual vacilo dos usuários no fornecimento de senhas já que os smartphones são, por regra, muito seguros.

Duas dicas dadas pelos promotores para evitar problemas com fraude é retirar as notificações de tela (principalmente de SMS) e, também, retirar da tela de bloqueio do iPhone a possibilidade de colocar o aparelho em modo avião. Isso possibilita ao criminoso suspender o serviço de localização.

Procurada, a Apple informou que, por ora, não vai comentar o assunto. A Folha enviou questões sobre eventuais falhas de segurança do Face ID e, também, sobre a notificação encaminhada pelo Procon. Não houve resposta para nenhum dos questionamentos.

A Samsung informou, por meio de nota, que recebeu a notificação do Procon e que responderá ao órgão no prazo adequado. "A companhia reforça, ainda, seu comprometimento com a proteção dos dados pessoais dos consumidores e que segue, continuamente, aprimorando suas ferramentas para garantir a segurança de seus usuários cumprindo com as leis brasileiras."

Já a Febraban repetiu posicionamento anterior de que os aplicativos de bancos "contam com elevado grau de segurança desde o seu desenvolvimento até a sua utilização, não existindo qualquer registro de violação dessa segurança".

"Para que os aplicativos bancários sejam utilizados, há a obrigatoriedade do uso da senha pessoal do cliente. Os dados de uso do aplicativo, bem como a senha do cliente jamais são armazenadas pelos aplicativos dos bancos nos celulares dos clientes."

A Motorola não se manifestou.