Foco da solicitação são os mecanismos de segurança e bloqueio disponibilizados aos clientes vítimas de movimentação indevida na conta corrente
O Procon notificou diversos bancos, fintechs e associações do setor financeiro pedindo explicações sobre dispositivos de segurança, bloqueio, exclusão de dados de forma remota e rastreamento de operações financeiras disponibilizados aos clientes vítimas de furto ou roubo.
O pedido foi motivado por conta de notícias sobre quadrilhas que têm roubado celulares com o objetivo de acessar aplicativos de bancos instalados no aparelho para fazer transferências indevidas na conta bancária da vítima.
As empresas e associações notificadas foram: Bradesco, Itaú, Santander, Caixa Econômica Federal, Banco do Brasil, BMG, Inter, Pan, C6, Neon Pagamentos, NU Pagamentos, Associação Brasileira de Bancos (ABBC), Associação Brasileira de Fintechs (ABFintechs) e Federação Brasileira de Bancos (Febraban).
Levando em consideração as diversas formas de acesso remoto (aplicativos em Smartphones, aparelhos eletrônicos com comunicação via Bluetooth e por aproximação, dentre outros), as empresas foram notificadas a apresentar as seguintes informações:
• laudos técnicos, assinados por profissionais habilitados, dos testes de validação e eficiência realizados em seus sistemas de segurança disponibilizados ao consumidor para acesso remoto às contas bancárias e demais serviços financeiros vinculados ao titular/cliente;
• comprovação dos mecanismos de validação para acesso remoto pelo titular da conta bancária, especificando o número de etapas aplicado ao processo em todas as suas modalidades: senhas, códigos de segurança, reconhecimento de voz e facial, dentre outros;
• quanto a proposta de uso oficial dos dispositivos de segurança, especificar diferenças eventualmente aplicadas em razão do sistema operacional IOS ou ANDROID e do “pacote de serviços” a que esteja vinculado, para desbloqueio e acesso às contas bancárias com objetivo de simples consulta e/ou realização de transações financeiras, comprovando em cada caso o respectivo grau de confiabilidade/vulnerabilidade;
• providências tomadas quando o cliente identifica/comunica possíveis problemas de quebra de segurança de acesso e de violabilidade de dados por fraudes nos sistemas de segurança;
• recepção, tratamento e armazenamento aplicados aos dados fornecidos pelos usuários, no momento da habilitação para acesso remoto à conta bancária e serviços financeiros vinculados;
• período (lapso temporal) previsto para o armazenamento dos dados dos usuários – incluindo as imagens e gravações de voz, comprovando a possibilidade de sua atualização e exclusão de forma remota, se necessárias;
PIX
Especificamente sobre as transações via PIX (Pagamento Instantâneo), as instituições deverão apresentar a política de segurança aplicada para efetivação de tal meio de pagamento, informando o processo complementar – se aplicado, de verificação e validação de titularidade da chave de acesso, bem como a forma de estorno/devolução de valores em razão de comprovação de fraudes por violação de seu sistema de segurança.
Também deverão esclarecer os custos de cobrança, tendo em vista o pacote de serviços contratado pelo cliente, para utilização dos dispositivos de segurança especificando – se aplicável, a distinção em razão do sistema operacional IOS ou ANDROID.
As empresas têm até o dia 30 para responderem aos questionamentos
Crédito: freepik
Fonte: Procon-SP