A Caixa Geral de Depósitos, o Novo Banco e o ActivoBank foram alvo de uma potencial falha de segurança que permitiu a terceiros mal-intencionados obterem o IBAN completo de contas bancárias, utilizando apenas o número de telemóvel associado às mesmas, avança a Renascença. A vulnerabilidade está relacionada com o SPIN, um sistema de transferências criado pelo Banco de Portugal.
O regulador bancário garante ao mesmo órgão de comunicação que não houve acessos ou transferências indevidas, mas admite uma “fragilidade” – já “identificada” e “corrigida” – que permitiu que “utilizadores mal-intencionados” conseguissem “obter o IBAN completo de clientes”. Ou seja, o código internacional que identifica as contas, e que em Portugal começa por PT50. Os clientes afetados foram devidamente informados pelos respetivos bancos.
O sistema SPIN, disponível em várias entidades bancárias em Portugal desde 2024, foi criado para simplificar as transferências, permitindo que estas sejam realizadas com o número de telemóvel do destinatário, sem necessidade de partilhar o IBAN.
O risco principal reside na utilização destes IBANs para esquemas de engenharia social. Com o IBAN da vítima em sua posse, um criminoso pode contactá-la, fazendo-se passar por um funcionário do banco e usando o dado como prova de legitimidade. O objetivo é ganhar a confiança do cliente para que este partilhe as suas credenciais de acesso ou outros dados sensíveis, resultando em possíveis fraudes.
Numa comunicação enviada aos clientes, o ActivoBank deixa algumas recomendações: nunca se deve transmitir dados pessoais ou bancários a quem quer que seja por telefone, mesmo que a pessoa afirme ser do banco. É igualmente crucial nunca aceder ao homebanking através de links recebidos por email, SMS ou outras aplicações de mensagens.
O banco recomenda ainda a configuração de alertas na aplicação, que notificam o utilizador sempre que ocorrem transações na conta, permitindo um controlo mais apertado e imediato de qualquer atividade suspeita.
